Bundesverfassungsgericht, Beschluss vom 27.05.2020, Az. 1 BvR 1873/13, 1 BvR 2618/13

Die [X.] richten sich gegen § 113 des [X.] ([X.]) sowie gegen mehrere Fachgesetze des [X.], die die manuelle Bestandsdatenauskunft regeln.

Die [X.]n wandten sich zunächst gegen § 113 [X.], § 7 Abs. 3 bis 7, § 20b Abs. 3 bis 7 und § 22 Abs. 2 bis 4 des [X.]esetzes über das [X.]kriminalamt und die Zusammenarbeit des [X.] und der Länder in kriminalpolizeilichen Angelegenheiten ([X.]kriminalamtgesetz ‒ [X.]), § 22a des [X.]esetzes über die [X.]polizei ([X.]polizeigesetz ‒ [X.]), § 7 Abs. 5 bis 9, § 15 Abs. 2 bis 6 des [X.]esetzes über das [X.] und die [X.] ([X.]), § 8d des [X.]esetzes über die Zusammenarbeit des [X.] und der Länder in Angelegenheiten des [X.]es und über das [X.]amt für [X.] ([X.]verfassungsschutzgesetz ‒ BVerfSch[X.]), § 2b des [X.]esetzes über den [X.]nachrichtendienst ([X.]) und § 4b des [X.]esetzes über den militärischen Abschirmdienst ([X.] ‒ [X.]), jeweils in der Fassung des [X.]esetzes zur Änderung des [X.] und zur Neuregelung der Bestandsdatenauskunft vom 20. Juni 2013 ([X.] 1602).

Nach der Änderung der § 7 Abs. 7, § 15 Abs. 4 ZFd[X.] durch Art. 4 des [X.]esetzes zur Neuorganisation der Zollverwaltung vom 3. Dezember 2015 ([X.] 2178) mit Wirkung zum 1. Januar 2016, der [X.] von § 2b [X.] als § 4 [X.] durch das [X.]esetz zur [X.] des [X.]nachrichtendienstes vom 23. Dezember 2016 ([X.] 3346) mit Wirkung zum 31. Dezember 2016 und der Ersetzung der § 7 Abs. 3 bis 7, § 20b Abs. 3 bis 7, § 22 Abs. 2 bis 4 [X.] mit den § 10 und § 40 [X.] durch das [X.]esetz zur Neustrukturierung des [X.]kriminalamtgesetzes vom 1. Juni 2017 ([X.] 1354) mit Wirkung zum 25. Mai 2018 haben die [X.]n zu [X.] ihren Antrag mit Schreiben vom 31. März 2019 den Änderungen angepasst.

Der angegriffene § 113 [X.] berechtigt Anbieter von [X.] zur Übermittlung von Bestandsdaten im sogenannten manuellen Auskunftsverfahren. Die weiteren angegriffenen Normen regeln den Abruf dieser Daten durch verschiedene Sicherheitsbehörden des [X.]. Alle Neuregelungen dienen der Umsetzung der Entscheidung des [X.]verfassungsgerichts vom 24. Januar 2012 ([X.] 130, 151 ‒ Bestandsdatenauskunft I), mit der § 113 [X.] in seiner Fassung vom 22. Juni 2004 (im [X.]: § 113 [X.] a.F.) teilweise für verfassungswidrig erklärt und das Fehlen fachrechtlicher [X.] beanstandet wurde.

1. Als [X.]rundlage für eine Bestandsdatenauskunft verpflichtet § 111 [X.] geschäftsmäßige Anbieter von [X.], die von ihnen vergebenen oder bereitgestellten Rufnummern, [X.]kennungen und Mobilfunkendgerätenummern sowie die zugehörigen persönlichen Daten der [X.]inhaber einschließlich der Daten des [X.] und ‒ bei [X.] [X.] zu erheben und zu speichern. Zudem sind Kennungen und Kundendaten von elektronischen Postfächern zu speichern, soweit sie ohnehin erhoben werden.

Zur Erlangung dieser Bestandsdaten kann sich die um Auskunft ersuchende Behörde entweder im automatisierten Verfahren an die [X.]netzagentur für Elektrizität, [X.]as, Telekommunikation, Post und Eisenbahnen (im [X.]: [X.]netzagentur) oder im manuellen Verfahren unmittelbar an die Diensteanbieter wenden. Den Zugriff auf die Daten im automatisierten Verfahren regelt § 112 [X.]. Danach hat, wer öffentlich zugängliche Telekommunikationsdienste erbringt, zu gewährleisten, dass die [X.]netzagentur die nach § 111 [X.] gespeicherten Daten jederzeit automatisiert abrufen kann. Ein Abruf erfolgt insbesondere aufgrund eines an die [X.]netzagentur gerichteten Ersuchens einer der in § 112 Abs. 2 [X.] näher bezeichneten Behörden.

Die Auskunft im manuellen Verfahren regelt § 113 [X.]. Sie erfolgt unmittelbar aufgrund eines Ersuchens einer der in § 113 Abs. 3 [X.] abschließend genannten Stellen. Zur Auskunft verpflichtet sind alle diejenigen, die geschäftsmäßig Telekommunikationsdienste erbringen oder daran mitwirken, mithin alle Diensteanbieter im Sinne des [X.] (vgl. § 3 Nr. 6 [X.]). Da das geschäftsmäßige Erbringen von [X.] gemäß § 3 Nr. 10 [X.] das nachhaltige Angebot von Telekommunikation für Dritte sowohl mit als auch ohne [X.]ewinnerzielungsabsicht erfasst, sind gemäß § 113 [X.] zum Beispiel auch Betreiber eines Hotspots oder Einrichtungen, die im Rahmen von [X.]eschäftsbeziehungen WLAN-Netze zur Verfügung stellen, auskunftsverpflichtet.

a) Während im automatisierten Verfahren allein die gemäß § 111 [X.] verpflichtend zu speichernden Bestandsdaten beauskunftet werden können, umfasst § 113 Abs. 1 Satz 1 [X.] auch die von den Diensteanbietern nach § 95 [X.] zu betrieblichen Zwecken gespeicherten Daten, zu deren Speicherung keine Pflicht besteht. Hierbei handelt es sich um solche Bestandsdaten, die die Diensteanbieter zur Begründung, inhaltlichen Ausgestaltung, Änderung oder Beendigung ihrer Vertragsverhältnisse erheben und verwenden. Dazu gehören üblicherweise Name und Anschrift der Vertragspartner, Art des kontrahierten Dienstes und die den Teilnehmenden zum [X.]ebrauch überlassenen Einrichtungen sowie die [X.]nummer, aber auch rechnungsrelevante Daten wie zum Beispiel Rechnungsanschrift, Bankverbindung, Lastschriftermächtigung und besondere Tarifmerkmale.

b) Der Anwendungsbereich des § 113 [X.] wird dadurch erweitert, dass nach § 113 Abs. 1 Satz 2 [X.] eine Auskunft auch über solche Bestandsdaten zu erteilen ist, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen geschützt wird, die in diesen [X.] oder hiervon räumlich getrennt eingesetzt werden (Zugangsdaten). Hierbei handelt es sich um vom Diensteanbieter vergebene Zugangssicherungscodes wie zum Beispiel die Persönliche Identifikationsnummer ([X.]) und die als Personal Unblocking Key ([X.]) bezeichnete Nummer, die einen Zugriff auf Speichereinrichtungen wie SIM-Karten oder Endgeräte wie etwa Mobiltelefone oder Tablets ermöglichen können. Erfasst werden auch weitere, vom Diensteanbieter vergebene Zugangsdaten für externe Speichereinrichtungen, wie etwa sogenannte Voice-Mailboxen oder E-Mail-Postfächer, soweit sie auch nach der Entscheidung des [X.] ([X.], Urteil vom 13. Juni 2019, [X.], [X.]/18, [X.]:[X.]) noch als Telekommunikationsdienste angesehen werden können. Da § 111 Abs. 1 [X.] die Diensteanbieter nicht zur Speicherung von Zugangsdaten verpflichtet, kommt die Erteilung einer Auskunft nur in Betracht, wenn die Diensteanbieter sie gemäß § 95 [X.] zu betrieblichen Zwecken speichern. Von Nutzerinnen und Nutzern selbst vergebene Zugangsdaten, mit denen diese ihre Endgeräte oder Speichereinrichtungen vor einem Zugriff Dritter sichern, werden von den Diensteanbietern üblicherweise nur verschlüsselt gespeichert (vgl. § 109 Abs. 1 und 2 [X.] sowie § 109 Abs. 6 [X.] in Verbindung mit dem Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 [X.] ([X.])). Eine Auskunft kann insoweit nicht erteilt werden.

c) Bestandsdaten dürfen gemäß § 113 Abs. 1 Satz 3 [X.] auch anhand einer zu einem bestimmten [X.]punkt zugewiesenen [X.] (dynamische IP-Adresse) bestimmt werden. Die IP-Adresse ist eine Nummer, die die Adressierung von Computern und anderen technischen [X.]eräten in einem Netzwerk, insbesondere im [X.], erlaubt; sie kann vereinfacht als "Telefonnummer" des Computers beschrieben werden. Dabei wird zwischen statischen und dynamischen IP-Adressen unterschieden. Während eine statische IP-Adresse einem bestimmten [X.]inhaber (genauer: der Netzwerkschnittstelle eines bestimmten [X.]eräts des [X.]) fest zugewiesen wird, wird im Fall der dynamischen Adressierung dem [X.]inhaber (genauer: der Netzwerkschnittstelle des mit dem [X.] kommunizierenden [X.]eräts des [X.]) bei jeder neuen Aufnahme der Netzwerkverbindung eine IP-Adresse neu zugewiesen ([X.] 130, 151 <162>).

[X.]egenstand der Auskunft ist die Zuordnung der IP-Adresse zu einem bestimmten [X.]inhaber und damit selbst ein Bestandsdatum (vgl. [X.] 130, 151 <163>). Dies ist nur möglich, wenn die Diensteanbieter zuvor bei ihnen gespeicherte Verkehrsdaten auswerten, um festzustellen, welchem [X.] die verwendete IP-Adresse zu dem angefragten [X.]punkt zugeordnet war. Auskünfte beziehen sich dadurch immer auch auf eine konkrete Verbindung. Bei den Verkehrsdaten, die zu diesem Zweck ausgewertet werden, handelt es sich zunächst um die nach § 96 [X.] zu betrieblichen Zwecken gespeicherten Daten. Die Praxis der Speicherung ist insoweit je nach Diensteanbieter, Vertragsgestaltung und in Anspruch genommener Dienstleistung sehr unterschiedlich. Ohne konkreten Anlass ist eine Speicherung zur Erkennung, Eingrenzung oder Beseitigung von Störungen oder Fehlern (§ 96 Abs. 1 Satz 2, § 100 Abs. 1 [X.]) jedenfalls bis zu sieben Tage nach Ende der Verbindung zulässig (vgl. [X.], Urteil vom 3. Juli 2014 - [X.] -, Rn. 23).

Diensteanbieter, die öffentlich zugängliche Telekommunikationsdienste erbringen, dürfen gemäß § 113c Abs. 1 Nr. 3 [X.] aber auch Verkehrsdaten auswerten, zu deren Speicherung sie gemäß § 113a Abs. 1, § 113b Abs. 1 und 3 [X.] in der Fassung von Art. 2 Nr. 2 des [X.]esetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten vom 10. Dezember 2015 ([X.] 2218) seit dem 1. Juli 2017 verpflichtet sind. Zwar sieht die [X.]netzagentur derzeit von Anordnungen und sonstigen Maßnahmen zur Durchsetzung der [X.] ab. Ihre entsprechende Erklärung vom 28. Juni 2017 erging als Folge einer Entscheidung des [X.] für das [X.] in einem einstweiligen Rechtsschutzverfahren ([X.], Beschluss vom 22. Juni 2017 - 13 [X.]/17 -), in dem festgestellt wurde, dass der dort klagende Diensteanbieter bis zum rechtskräftigen Abschluss des Hauptsacheverfahrens nicht verpflichtet ist, die in § 113b Abs. 3 [X.] genannten Verkehrsdaten zu speichern. Das Hauptsacheverfahren ist weiterhin anhängig und das [X.]verwaltungsgericht hat zwischenzeitlich in diesem und einem weiteren Verfahren dem [X.] die Frage vorgelegt, ob das Unionsrecht der Vorratsdatenspeicherung in der Ausgestaltung durch §§ 113a f. [X.] entgegensteht (BVerw[X.], Beschlüsse vom 25. September 2019 - 6 C 12.18 - und - 6 C 13.18 -). Die Entscheidungen des [X.] und des [X.]verwaltungsgerichts ändern jedoch nichts an der formellen Weitergeltung der Speicherungspflichten der Diensteanbieter, wenngleich in Reaktion auf die Erklärung der [X.]netzagentur fast alle Diensteanbieter vorerst davon absehen, die Vorratsdatenspeicherung umzusetzen, und auch das Oberverwaltungsgericht aufgrund der Erklärung der [X.]netzagentur gegenwärtig das Rechtsschutzinteresse für den Erlass einstweiliger Anordnungen zugunsten weiterer Diensteanbieter verneint (vgl. [X.], Beschluss vom 25. August 2017 - 13 B 762/17 -, Rn. 19 ff.).

d) [X.]emäß § 113 Abs. 2 Satz 1 [X.] darf eine Auskunft nur erteilt werden, soweit eine in § 113 Abs. 3 [X.] genannte Stelle dies in Textform im Einzelfall zum Zweck der Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von [X.]efahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der Nachrichtendienste unter Angabe einer gesetzlichen Bestimmung verlangt, die ihr eine Erhebung der angefragten Daten erlaubt.

2. Die mit den [X.] angegriffenen [X.] des [X.] bestimmen, dass die Sicherheitsbehörden zur Erfüllung ihrer jeweils genannten Aufgaben von den Diensteanbietern Auskunft über die nach den §§ 95 und 111 [X.] erhobenen Daten verlangen dürfen. Die Auskunft über Zugangsdaten ist daran gebunden, dass die gesetzlichen Voraussetzungen für deren Nutzung vorliegen. Die Vorschriften sehen jeweils vor, dass auch Auskunft von anhand einer dynamischen IP-Adresse bestimmter Bestandsdaten verlangt werden darf. Die angegriffenen [X.] unterscheiden sich hauptsächlich hinsichtlich der Eingriffsvoraussetzungen, die jeweils auf die Aufgaben der abrufberechtigten Behörde zugeschnitten sind, sowie hinsichtlich der Ausgestaltung der Benachrichtigungspflichten.

3. Die angegriffenen Vorschriften lauten in ihrer maßgeblichen Fassung vom 20. Juni 2013, die zum 1. Juli 2013 in [X.] getreten ist, wie folgt:

Die zunächst angegriffenen § 7 Abs. 3 bis 7, § 20b Abs. 3 bis 7 und § 22 Abs. 2 bis 4 [X.] in der Fassung vom 20. Juni 2013 wurden zwischenzeitlich durch das [X.]esetz zur Neustrukturierung des [X.]kriminalamtgesetzes vom 1. Juni 2017 ([X.] 1354) mit Wirkung zum 25. Mai 2018 durch die §§ 10, 40 [X.] ersetzt. Diese lauten:

4. a) Anlass der Neuregelung der manuellen Bestandsdatenauskunft war die Entscheidung des [X.]verfassungsgerichts vom 24. Januar 2012 ([X.] 130, 151 ‒ Bestandsdatenauskunft I). Danach ist zwischen der Datenübermittlung seitens der auskunftsberechtigten Stelle und dem Datenabruf seitens der auskunftsuchenden Stelle zu unterscheiden. Ein Datenaustausch vollzieht sich durch die miteinander korrespondierenden Eingriffe von Abfrage und Übermittlung, die jeweils einer eigenen Rechtsgrundlage bedürfen. Der [X.]esetzgeber muss, bildlich gesprochen, nicht nur die Tür zur Übermittlung von Daten öffnen, sondern auch die Tür zu deren Abfrage. Erst beide Rechtsgrundlagen gemeinsam, die wie eine Doppeltür zusammenwirken müssen, berechtigen zu einem Austausch personenbezogener Daten ([X.] 130, 151 <184>). Damit bedarf es auch für bundesrechtliche Materien qualifizierter [X.], die über eine schlichte Datenerhebungsbefugnis hinausgehen und die eine Auskunftsverpflichtung der Diensteanbieter eigenständig begründen (vgl. [X.] 130, 151 <202>).

Der zur Überprüfung gestellte § 113 Abs. 1 Satz 1 [X.] a.F. konnte dementsprechend nur so verstanden werden, dass er zwar zur Übermittlung der Daten durch die Diensteanbieter ermächtigte, für den Datenabruf selbst aber qualifizierte [X.] voraussetzte (vgl. [X.] 130, 151 <202>). Darüber hinaus entschied das [X.]verfassungsgericht, dass § 113 Abs. 1 Satz 1 [X.] a.F. verfassungskonform dahin auszulegen sei, dass in ihm keine Rechtsgrundlage für die Zuordnung dynamischer IP-Adressen gesehen werden konnte (vgl. [X.] 130, 151 <204 f.>), und erklärte § 113 Abs. 1 Satz 2 [X.] a.F. aus [X.]ründen der Verhältnismäßigkeit für verfassungswidrig, weil die Regelung zur Erteilung einer Auskunft über Zugangsdaten unabhängig von den Voraussetzungen für deren Nutzung ermächtigte (vgl. [X.] 130, 151 <208 f.>).

b) Nach der Begründung des [X.]esetzentwurfs der [X.]regierung dienen die angegriffenen Regelungen vom 20. Juni 2013 sämtlich der Umsetzung der Entscheidung des [X.]verfassungsgerichts; neue Befugnisse der Sicherheitsbehörden sollten nicht geschaffen werden (vgl. BTDrucks 17/12034, [X.]). Nach dem Bild einer Doppeltür soll § 113 [X.] die erste der zwei notwendigen Türen darstellen. Die Regelung wurde daher ausdrücklich nur als bloße Öffnungsklausel ausgestaltet, die die Diensteanbieter lediglich bei Vorliegen eines auf eine fachrechtliche Abrufregelung gestützten Verlangens zur Datenübermittlung berechtigt und verpflichtet. Dementsprechend bestimmt § 113 Abs. 2 Satz 1 [X.], dass der Abruf einer qualifizierten Rechtsgrundlage für die abrufende Stelle bedarf (vgl. BTDrucks 17/12034, [X.]). Die Maßgabe des [X.]verfassungsgerichts, dass ein Zugriff auf Zugangsdaten nur zulässig ist, wenn auch die Voraussetzungen für deren Nutzung vorliegen, wurde nicht in § 113 [X.] umgesetzt, sondern in den verschiedenen [X.] des [X.]. Mit § 113 Abs. 1 Satz 3 [X.] wurde schließlich eine Rechtsgrundlage dafür geschaffen, zu beauskunftende Bestandsdaten auch anhand einer dynamischen IP-Adresse zu bestimmen.

Die in den Fachgesetzen des [X.] erstmals geschaffenen [X.] sollen die für den Datenaustausch erforderliche zweite Tür bilden. Sie ermächtigen die verschiedenen auskunftsberechtigten [X.]behörden zum Abruf der nach §§ 95 und 111 [X.] erhobenen Daten und begründen eigenständig eine Auskunftsverpflichtung der Diensteanbieter (vgl. BTDrucks 17/12034, [X.]). Für den Abruf von Zugangsdaten und die identifizierende Zuordnung dynamischer IP-Adressen wurden Benachrichtigungspflichten und für den Abruf von Zugangsdaten zudem ein Richtervorbehalt vorgesehen (vgl. BTDrucks 17/12879, [X.] ff., 11).

Die [X.]n sind Inhaber von Festnetz- sowie Mobilfunkanschlüssen und nutzen [X.]zugangsleistungen verschiedener Diensteanbieter. Sie sehen sich durch die angegriffenen Vorschriften in ihren [X.]rundrechten aus Art. 10 Abs. 1 [X.] sowie Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.] verletzt.

1. Die [X.] seien zulässig. Die [X.]n seien alle mit einiger Wahrscheinlichkeit von Abfragen der gespeicherten Daten betroffen. Hiervon würden sie voraussichtlich keine Kenntnis erlangen, da eine Benachrichtigung entweder nicht vorgesehen sei oder Einschränkungen unterliege.

2. Die [X.] seien auch begründet.

a) § 113 [X.] sei verfassungswidrig. Für die [X.] seiner Absätze 3 und 4 bestehe schon keine [X.]esetzgebungskompetenz des [X.]. In welcher Form, in welchem [X.]rahmen und in welchem Umfang Auskünfte zu erteilen seien und ob Diensteanbieter ihre Kunden über eine [X.] informieren dürften, betreffe nicht lediglich die Öffnung der Datenbestände.

Die Übermittlungsregelung des § 113 [X.] verletze das [X.]. Sowohl in § 113 [X.] als auch in den fachrechtlichen [X.] fehle die noch in der Vorgängerregelung enthaltene Bestimmung, dass Auskünfte nur "im Einzelfall" und damit nicht routinemäßig und massenhaft eingeholt werden dürften, obgleich die weiten Auskunftsrechte unverändert beibehalten worden seien. Die Verpflichtung zur Bereithaltung einer gesicherten elektronischen Schnittstelle (§ 113 Abs. 5 Satz 2 [X.]) weite den staatlichen Zugriff zusätzlich aus.

§ 113 Abs. 2 [X.] setze keine spezifische Rechtsgrundlage für den Abruf der Daten voraus. [X.]efordert werde nur eine gesetzliche Bestimmung, die eine Erhebung der in Absatz 1 der Vorschrift in Bezug genommenen Daten erlaube. Dafür genüge eine allgemeine Datenerhebungsbefugnis. Eine erneute verfassungskonforme Auslegung dahin, dass die Regelung eine spezifische Rechtsgrundlage voraussetze, komme aus [X.]ründen der Normenklarheit nicht in Betracht. Notwendig sei ein "einfachgesetzliches Zitiergebot": § 113 [X.] dürfe zur Auskunftserteilung nur aufgrund solcher [X.] berechtigen, die einen Abruf unter ausdrücklicher Nennung der Vorschrift ermöglichten.

Die Identifizierung von Personen, die das [X.] nutzen, stelle einen besonders schwerwiegenden Eingriff in das [X.]rundrecht aus Art. 10 Abs. 1 [X.] dar. Die mögliche Persönlichkeitsrelevanz einer Abfrage des Inhabers einer IP-Adresse sei eine andere als diejenige der Abfrage des Inhabers einer Telefonnummer. Zur Wahrung der Verhältnismäßigkeit sei insoweit im Bereich der Strafverfolgung eine richterliche Anordnung notwendig. Darüber hinaus erfordere die Aufhebung der Anonymität im [X.] eine Rechtsgutbeeinträchtigung, der von der Rechtsordnung auch sonst ein hervorgehobenes [X.]ewicht beigemessen werde. Sie sei nur zur Verfolgung von Straftaten von erheblichem [X.]ewicht oder zur Abwehr von [X.]efahren für wichtige Rechtsgüter verhältnismäßig. Ein Abruf zur Verfolgung jedweder Ordnungswidrigkeiten genüge dem nicht (mit Verweis auf [X.] 125, 260 <344>). Ein solcher werde auch durch § 46 Abs. 3 [X.]esetz über Ordnungswidrigkeiten (OWi[X.]) nicht normenklar ausgeschlossen.

Es sei unverhältnismäßig, dass § 113 Abs. 1 Satz 4 [X.] von den Anbietern die Heranziehung "sämtlicher unternehmensinterner Datenquellen" zur Auskunftserteilung fordere, weil dies rechtswidrig gespeicherte Daten einschließe. Die Formulierung berge auch die [X.]efahr, dass die Vorschriften über die Verkehrsdatenerhebung umgangen werden könnten, indem offene Anfragen zu [X.]inhabern gestellt würden, deren Telekommunikationsverbindungen den Behörden nicht bekannt seien.

b) Die angegriffenen [X.] regelten die gesetzlichen Voraussetzungen des Abrufs von Zugangsdaten nicht normenklar und präzise. Die bloße Bezugnahme auf "die gesetzlichen Voraussetzungen für die Nutzung der Daten" lasse nicht erkennen, welche konkreten Voraussetzungen vorliegen müssten.

Die fachgesetzlichen [X.] genügten in verschiedener Hinsicht nicht dem Verhältnismäßigkeitsgrundsatz. Zugangsdaten ermöglichten den Zugriff auf äußerst sensible Inhalte der Telekommunikation und persönliche Inhalte wie Fotos, Tagebücher und Dokumente. Erforderlich sei daher eine Subsidiaritätsklausel, nach der der Staat Zugangsdaten allenfalls dann erheben dürfe, wenn die damit bezweckte Datenerhebung nicht auf andere Weise erfolgen könne. In Betracht komme eine unmittelbare Inanspruchnahme der Diensteanbieter auf Herausgabe inhaltlich oder zeitlich begrenzter Daten. Die dem [X.]- und [X.] jeweils in ihrer Funktion als Zentralstelle eingeräumte Befugnis, Zugangsdaten abzufragen, sei unzulässig, weil diese insoweit nicht zur Nutzung der Daten befugt seien.

Alle fachrechtlichen [X.] seien mangels hinreichend begrenzter Zweckbestimmungen verfassungswidrig. Die Regelungen zur Zuordnung von IP-Adressen verletzten zudem das [X.], weil sie diese eingriffsintensive Maßnahme unter denselben weitreichenden Voraussetzungen zuließen wie die allgemeine Bestandsdatenauskunft. § 8d BVerfSch[X.], § 2b [X.] und § 4b [X.] berücksichtigten nicht die Rechtsprechung des [X.]verfassungsgerichts, nach der Nachrichtendiensten die Identifizierung von [X.]nutzern nur erlaubt werden dürfe, wenn aufgrund tatsächlicher Anhaltspunkte vom Vorliegen einer konkreten [X.]efahr auszugehen sei (mit Verweis auf [X.] 125, 260 <343 f.>).

Art. 9 des Änderungsgesetzes ([X.] 2013 [X.]602) stelle fest, dass das Fernmeldegeheimnis durch die Art. 1 bis 8 des [X.]esetzes eingeschränkt werde, ohne dies auf die Zuordnung von IP-Adressen zu beschränken. Von daher könnte die Befugnis zu Eingriffen in das Fernmeldegeheimnis auch anderen Regelungen entnommen werden.

Der Richtervorbehalt für die Erhebung von Zugangsdaten sei unzureichend ausgestaltet. Die vorgesehenen Ausnahmen gingen zu weit. Auch werde es dem [X.] nicht gerecht, dass das [X.]esetz keinerlei Vorkehrungen zur [X.]ewährleistung der Sicherheit erhobener Zugangsdaten treffe und dass eine statistische Erfassung der erfolgten Abfragen dynamischer IP-Adressen und der Nutzung der elektronischen Schnittstelle nicht vorgesehen sei.

Zu den [X.] haben die [X.]regierung und die [X.]beauftragte für den Datenschutz und die Informationsfreiheit Stellung genommen.

1. Die [X.]regierung hält die [X.] für unbegründet. Die Öffnungsregelung zur manuellen Bestandsdatenauskunft in § 113 [X.] und die einzelnen [X.] des [X.]rechts seien verfassungsgemäß.

a) aa) In tatsächlicher Hinsicht weist die [X.]regierung darauf hin, dass für die Praxis vor allem das automatisierte Abrufverfahren nach § 112 [X.] von Bedeutung sei. So habe etwa beim [X.]amt für [X.] die Zahl der Abrufe im manuellen Verfahren im Jahr 2016 nur 2 % der Anfragen nach § 112 [X.] betragen. Beide Abrufverfahren würden in erster Linie zu Zwecken der Strafverfolgung genutzt. Abfragen zur [X.]efahrenabwehr oder zu nachrichtendienstlichen Zwecken seien nicht ohne praktische Relevanz, stünden aber zahlenmäßig im Hintergrund. Die absoluten Zahlen der Anfragen seien auch nach der Neufassung des § 113 [X.] kaum angestiegen.

Das manuelle Auskunftsverfahren komme typischerweise in Betracht, wenn eine vorherige Abfrage im automatisierten Verfahren ergebnislos geblieben sei oder über die übermittelten Daten hinaus die nach § 95 [X.] gespeicherten Daten für die Aufklärung eines Sachverhalts oder die eindeutige Identifizierung des [X.] erforderlich seien. Es sei auch dann erforderlich, wenn etwa weitere auf den [X.]inhaber früher oder aktuell ausgegebene Rufnummern oder [X.]kennungen in Erfahrung gebracht werden sollten. Eine Abfrage mehrerer Rufnummern oder IP-Adressen erfolge nicht.

Da die Behörden vielfach keine Statistiken führten, beruhten Angaben zur Häufigkeit der Abfragen teilweise auf Schätzungen. Es ergebe sich folgendes Bild:

Die [X.]polizei erhebe Bestandsdaten ganz überwiegend nur im Rahmen von repressiv-polizeilichen Ermittlungen. Es gebe insgesamt relativ konstant circa 4.600 Anfragen pro Jahr. Im Bereich des Zolls seien seit dem [X.] jährlich insgesamt zwischen 2.354 und 4.391 [X.] manuell abgefragt worden. Die Abfragen durch die Nachrichtendienste bewegten sich in den letzten Jahren relativ konstant im dreistelligen Bereich.

Auskunftsverlangen zu Bestandsdaten nach § 10 Abs. 1 Satz 1 Nr. 1 [X.] erfolgten zum einen zur Beantwortung polizeilicher Rechtshilfeersuchen, die ausländische Polizeibehörden an das [X.]kriminalamt richteten. Zum anderen erfolgten zeitkritische Abfragen zur Feststellung einer Länderzuständigkeit in [X.]efahrenlagen. Beispielhafte Anlässe für Auskunftsersuchen im Rahmen der [X.] des [X.]kriminalamts seien Suizidankündigungen sowie [X.] im [X.], die ein unverzügliches Einschreiten zur Ermittlung der suizidgefährdeten Person beziehungsweise des [X.]efahrenverantwortlichen erforderlich machten. In Fällen, in denen der einzige Ermittlungsansatz eine IP-Adresse oder Rufnummer sei, könne die örtliche Zuständigkeit einer [X.] fast nur über die Abfrage nach § 112 oder § 113 [X.] festgestellt werden. Im Rahmen der Aufgabenwahrnehmung nach § 2 [X.] (Zentralstelle) und § 4 [X.] (Strafverfolgung) sei insoweit eine Steigerung von 2.001 im [X.] auf 17.428 Abfragen im [X.] zu vermerken. Hauptursache für diese Steigerung sei ein seit Jahren zu verzeichnender Anstieg von Meldungen der [X.] Zentralstelle [X.] ([X.]) bezüglich des Besitzes, der Besitzverschaffung und der Verbreitung von Kinder- und Jugendpornografie durch [X.] [X.]nutzer an das [X.]kriminalamt. Zu berücksichtigen sei auch ein verändertes Nutzerverhalten, das durch eine vermehrte Nutzung von Smartphones und des [X.]s sowie der Zuordnung mehrerer [X.]eräte und Kennungen zu einer Person geprägt sei. Von seiner Befugnis Zugangsdaten abzufragen, habe das [X.]kriminalamt im Rahmen seiner [X.] bisher keinen [X.]ebrauch gemacht.

Die Zahlen der insgesamt erfolgten Abfragen von Zugangsdaten und Abfragen zum Zwecke der Zuordnung dynamischer IP-Adressen könnten für das [X.]kriminalamt und die [X.]polizei nicht angegeben werden. Im Bereich des Zolls seien sie auf jeweils etwa bis zu 100 Abfragen jährlich zu schätzen. Von den Nachrichtendiensten habe lediglich das [X.]amt für [X.] in den letzten Jahren Zugangsdaten in einstelliger Anzahl abgefragt. Alle Nachrichtendienste hätten jedoch Bestandsdaten anhand von IP-Adressen abgefragt, wobei deren Anzahl schwanke. So habe der [X.] in den Jahren 2016 bis 2018 eine einzige Abfrage anhand einer IP-Adresse vorgenommen, während der [X.]nachrichtendienst 166 Abfragen im [X.] vorgenommen habe. Die Zahlen für das [X.]amt für [X.] wiesen eine steigende Tendenz von circa 50 Abfragen im [X.] bis auf circa 850 Abfragen im [X.] auf.

[X.]) Zur technischen Entwicklung bei der Vergabe von IP-Adressen teilt die [X.]regierung mit: Da der Adressraum des überkommenen [X.]protokolls Version 4 ([X.]) nicht ausreiche, um allen netzfähigen [X.]eräten eine eigene IP-Adresse zuzuweisen, solle diese Version auf lange Sicht durch das [X.]protokoll Version 6 ([X.]) abgelöst werden. Die neue Version verfüge über einen hinreichend großen Adressraum, um auf absehbare [X.] alle netzfähigen [X.]eräte mit einer eigenen IP-Adresse auszustatten. Die Umstellung erfolge sukzessive. Während der Übergangsphase nutzten viele Diensteanbieter aber eine Technik, mittels derer sich viele Nutzer eine einzige öffentliche [X.]-Adresse unter Zuteilung sogenannter Source Port Numbers teilten. Diese Übergangslösung habe sich zwischenzeitlich zu einem dauerhaften Ersatz für das [X.] entwickelt, da sie die Nutzungsmöglichkeiten von [X.]-Adressen unbegrenzt vervielfache und die kostenintensive Umstellung hinausgezögert werden könne. Um einen Nutzer in diesem Fall zweifelsfrei identifizieren zu können, müsste neben der [X.]-Adresse insbesondere auch dessen Source Port Number bekannt sein. Diese läge den Sicherheitsbehörden häufig nicht vor und werde von den Providern nicht zuverlässig gespeichert.

Obgleich bei dem [X.] nicht mehr das Problem der Mangelverwaltung bestehe, würden auch die [X.]-Adressen vor allem im Privatkundenbereich im Regelfall dynamisch und nicht statisch zugewiesen. Eine statische IP-Adresse könne auf ausdrücklichen Wunsch des Kunden zugewiesen werden, was vor allem im Bereich der [X.]eschäftskunden genutzt werde.

b) Die angegriffenen Normen seien verfassungsgemäß. Der [X.]gesetzgeber sei zuständig. § 113 Abs. 4 [X.] begründe keine selbständige Auskunftspflicht, sondern richte sich allein an die betroffenen Unternehmen und präzisiere deren Pflichten auf dem [X.]ebiet der Telekommunikation.

§ 113 [X.] erlaube keine vom Einzelfall losgelöste Massenabfrage. Eine Unverhältnismäßigkeit ergebe sich auch nicht aus § 113 Abs. 5 Satz 2 [X.]. Zwar könne einer Regelung, die Datenabfragen sehr vereinfache, indem sie durch ein zentral zusammengefasstes und automatisiertes Verfahren die Daten ohne zeitliche Verzögerungen oder Reibungsverluste durch Prüferfordernisse zur Verfügung stelle, ein erhöhtes Eingriffsgewicht zukommen. Da die Auskunft aber weiterhin nur in Textform und im Einzelfall verlangt werden könne, sei sichergestellt, dass eine Abfrage nicht pauschal und ohne konkreten Anlass erfolge. Auch der mit einem manuellen Verfahren verbundene [X.] bleibe bestehen. Die Schnittstelle erhöhe lediglich die Datensicherheit.

§ 113 [X.] genüge dem [X.]ebot der Normenklarheit. Der [X.]esetzgeber habe mit § 113 Abs. 2 Satz 1 [X.] klargestellt, dass es für die Datenabfrage einer qualifizierten Rechtsgrundlage für die abrufende Stelle bedürfe und die dafür in Frage kommenden Stellen eindeutig und abschließend bestimmt. Die geschaffenen [X.] seien durch eine jeweils ausdrückliche Bezugnahme auf die nach §§ 95, 111 [X.] erhobenen Daten hinreichend qualifiziert.

Die durch § 113 Abs. 1 Satz 3 [X.] ermöglichte Identifizierung von IP-Adressen anhand von Verkehrsdaten verstoße nicht gegen Art. 10 Abs. 1 [X.]. Bei der verfassungsrechtlichen Bewertung sei zu berücksichtigen, dass ein Eingriff durch die Verwendung von Verkehrsdaten nur unvollständig in der Norm selbst geregelt werde. Die Pflicht der Unternehmen, Verkehrsdaten auszuwerten, verwirkliche sich erst in der konkreten Abfrage. Nicht alle verfassungsrechtlich gebotenen materiellen und verfahrensrechtlichen Vorgaben könnten aber in der Öffnungsnorm geregelt werden, weil diese nicht als "Vollnorm" ausgestaltet werden dürfe. Insoweit ergebe sich eine abschließende verfassungsrechtliche Beurteilung nur aus der Zusammenschau von Öffnungsnorm und [X.].

Für die Verwendung von Verkehrsdaten durch die Diensteanbieter zur Identifizierung einer IP-Adresse gälten weniger strenge verfassungsrechtliche Maßstäbe als für deren unmittelbare Verwendung durch Behörden, da diese selbst keinen Einblick in die Verkehrsdaten erhielten. Darüber hinaus werde immer nur ein bestimmter Teil der vorhandenen Verkehrsdaten verwendet. Eine Beschränkung des Anwendungsbereichs auf Straftaten von erheblichem [X.]ewicht sowie auf [X.]efahren für wichtige Rechtsgüter sei verfassungsrechtlich ebenso wenig geboten wie ein Richtervorbehalt. Sicherzustellen sei lediglich, dass eine Auskunft nur bei Vorliegen eines Anfangsverdachts oder einer konkreten [X.]efahr auf einzelfallbezogener Tatsachenbasis erfolgen dürfe. Dies gelte auch für die Nachrichtendienste. § 113 Abs. 2 [X.] werde diesen Vorgaben gerecht. Die fachgesetzlichen Ermächtigungsgrundlagen setzten auch voraus, dass die Datenerhebung erforderlich sei. Die Rückbindung an einen Einzelfall sei damit gewährleistet. Das Verfahren nach § 113 Abs. 1 Satz 3 [X.] könne nicht zur Verfolgung von Ordnungswidrigkeiten genutzt werden, da § 46 Abs. 3 Satz 1 OWi[X.] dem entgegen stehe. Die Formulierung des § 113 Abs. 1 Satz 3 [X.] mache auch deutlich, dass es sich um eine Ausnahmeregelung handele und eine Auswertung von Verkehrsdaten zu anderen Zwecken unzulässig sei.

Die angegriffenen [X.] seien ebenfalls verfassungsgemäß. Die Vorgaben des [X.]verfassungsgerichts seien durch den in § 113 Abs. 2 [X.] angeordneten Einzelfallbezug in Verbindung mit dem Verweis auf die gesetzlichen Aufgaben der ermächtigten Behörden in den [X.] eingehalten. Diese Normen enthielten den Bezug auf "die Verhütung und Verfolgung von Straftaten" (§ 2 Abs. 2 Nr. 1 in Verbindung mit § 7 Abs. 3 Satz 1 [X.] a.F., vgl. § 10 Abs. 1 Satz 1 Nr. 1 [X.]), "auf eine im Einzelfall bestehende [X.]efahr für Zeugen" (§ 26 Abs. 1 Satz 1 [X.] a.F.), "auf die konkrete Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes einer Person" (§ 22a Abs. 1 Satz 1 [X.]) oder auf die allgemeinen gesetzlichen Aufgabenbestimmungen der Nachrichtendienste. Deren Aufgabe der Informationssammlung sei etwa nach § 3 Abs. 1 BVerfSch[X.] auf die Aufklärung bestimmter Beobachtungsobjekte beschränkt. Voraussetzung sei jeweils das Vorliegen tatsächlicher Anhaltspunkte (§ 4 Abs. 1 Satz 3 BVerfSch[X.]), also ein nachrichtendienstlicher Anfangsverdacht.

Das [X.]kriminalamt werde ermächtigt, Bestandsdaten abzufragen, soweit dies zur Erfüllung seiner Aufgabe als Zentralstelle nach § 2 Abs. 2 Nr. 1 [X.] für die Wahrnehmung der in § 2 Abs. 1 [X.] beschriebenen Aufgabe erforderlich sei. Nach § 2 Abs. 1 [X.] unterstütze das [X.]kriminalamt als Zentralstelle für das polizeiliche Auskunfts- und Nachrichtenwesen und für die Kriminalpolizei die Polizeien des [X.] und der Länder bei der Verhütung und Verfolgung von Straftaten mit länderübergreifender, internationaler oder erheblicher Bedeutung. Nur dazu seien Bestandsdatenabfragen erlaubt und nicht zur bloßen [X.]efahrenvorsorge. Mit dem Hinweis auf die "[X.]" öffne das [X.]esetz die Bestandsdatenabfrage lediglich für eine auf spezielle individualisierte Tatsachen begründete Form der [X.]efahrenabwehr.

Die gefahrenabwehrrechtlichen [X.] wiesen den erforderlichen Einzelfallbezug auf. § 22a Abs. 1 [X.] etwa setze voraus, dass das Auskunftsverlangen der Erforschung des Sachverhalts oder der Ermittlung des Aufenthaltsortes einer Person diene. Soweit § 15 Abs. 2 ZFd[X.] auf § 4 Abs. 2 und 3 ZFd[X.] verweise und durch die Einbeziehung von [X.] über den Maßstab einer individuell tatsachenbasierten Abfragebefugnis hinausgehen könnte, dürfte eine allein auf Vorsorge abzielende Abfrage schon wegen § 113 Abs. 2 Satz 1 [X.] ausgeschlossen sein, da der Einzelfallbezug einer derartigen Abfrage entgegenstehe. Ergänzend erscheine eine verfassungskonforme Einschränkung der Verweisungsnormen möglich, die diese auf die [X.]efahren- und Straftatenverhütung beschränke.

Auch hinreichende [X.]n seien vorgesehen. Alle [X.] setzten die Erforderlichkeit der Auskunft zur Aufgabenerfüllung voraus. § 20b Abs. 3 [X.] a.F. (vgl. § 40 [X.]) beziehe sich auf § 4a Abs. 1 [X.] a.F. (vgl. § 5 Abs. 1 [X.]) und knüpfe damit an die Abwehr von konkreten [X.]efahren des internationalen Terrorismus an. Für die Aufgabe des [X.] nach § 6 [X.] a.F. (vgl. § 7 [X.]) werde ausdrücklich eine im Einzelfall bestehende [X.]efahr vorausgesetzt.

Es sei unbedenklich, dass § 8d BVerfSch[X.], § 2b [X.] und § 4b [X.] eine Auskunft bereits "zur Erfüllung der Aufgaben" des jeweiligen Nachrichtendienstes zuließen. Das Fehlen einer besonderen [X.] rechtfertige sich aus den beschränkten Aufgaben der Nachrichtendienste. Das [X.]verfassungsgericht habe angenommen, dass sich aus dem Erfordernis der Erforderlichkeit im Einzelfall ergebe, dass eine Auskunft gemäß § 113 Abs. 1 Satz 1 [X.] a.F. zur Aufklärung einer bestimmten nachrichtendienstlich beobachtungsbedürftigen Aktion oder [X.]ruppierung geboten sein müsse, ohne dass dieses Erfordernis speziell geregelt werden müsste. Insoweit unterscheide sich die Neuregelung nicht von der Vorgängervorschrift.

Es stelle keinen unverhältnismäßigen Eingriff in Art. 10 Abs. 1 [X.] dar, dass die Bestandsdatenauskunft, die sich dynamischer IP-Adressen bediene, unter denselben Voraussetzungen wie die allgemeine Bestandsdatenauskunft möglich sei. Aufgrund der nur mittelbaren Verwendung von Verkehrsdaten könnten derartige Auskunftsansprüche auch unabhängig von begrenzenden Rechtsgüter- oder Straftatenkatalogen vorgesehen werden. Für Abfragen durch die Nachrichtendienste sei sichergestellt, dass die Erforderlichkeit der Identifizierung in jedem Einzelfall geprüft werde.

Soweit das [X.]verfassungsgericht für die Abfrage von Zugangsdaten sichergestellt wissen wolle, dass auch die gesetzlichen Voraussetzungen für die Nutzung der Daten gegeben seien, sei diese Einschränkung in allen [X.] aufgenommen worden. Die Subsidiarität der Abfrage dieser Daten müsse nicht ausdrücklich geregelt werden. Eine Abfrage ergehe nur nach einer Einzelfallprüfung. Soweit dies verfassungsrechtlich geboten sei, enthielten zudem die Normen, die die Nutzung der abgefragten Daten regelten, besondere Verhältnismäßigkeitsregelungen. Der Eingriff in das [X.]rundrecht auf [X.]e Selbstbestimmung sei auch nicht deshalb unverhältnismäßig, weil von einer vorherigen gerichtlichen Entscheidung abgesehen werden könne, wenn der Betroffene Kenntnis von der Abfrage der Zugangsdaten habe oder haben müsse. Es sei gerade die Heimlichkeit einer Maßnahme, die besondere Verfahrenssicherungen wie den Vorbehalt richterlicher Anordnung erfordern könne. Wenn aber der Betroffene Kenntnis vom Herausgabeverlangen habe oder haben müsse, sei ein richterlicher Beschluss entbehrlich.

2. Die [X.]datenschutzbeauftragte erachtet die angegriffenen Regelungen zu einem Teil als verfassungswidrig. Es widerspreche der Entscheidung des [X.]verfassungsgerichts zur Vorratsdatenspeicherung, dass § 113 Abs. 1 Satz 3 [X.] die Auskunft über die Zuordnung einer dynamischen IP-Adresse auch zur Verfolgung einfacher Ordnungswidrigkeiten zulasse (mit Verweis auf [X.] 125, 260 <344>).

§ 10 Abs. 1 Satz 1 Nr. 1 [X.] in Verbindung mit dem in Bezug genommenen § 2 Abs. 2 Nr. 1 [X.] knüpfe nicht an eine konkrete Aufgabe zur [X.]efahrenabwehr an, sondern nur an die Aufgaben des [X.]kriminalamts als Zentralstelle. Damit verlange die Vorschrift keinen konkreten Anlass für Datenerhebungen. Die Daten müssten lediglich der Ergänzung vorhandener Sachverhalte oder sonst zu Zwecken der Auswertung dienlich sein, um [X.]egenstand einer Abfrage zu sein. Die Datenerhebung sei zudem zum Zweck der Erstellung von Analysen erlaubt (§ 2 Abs. 6 Nr. 1 [X.]). Dies lasse Zweifel an der hinreichenden Bestimmtheit und Verhältnismäßigkeit zu. Ein praktischer Bedarf für eine Erhebung von Zugangsdaten zur Erfüllung der [X.] bestehe nicht. Die entsprechende Regelung ergebe mangels denkbarer Nutzungsmöglichkeiten keinen Sinn. Die Möglichkeit der Bestandsdatenauskunft anhand von IP-Adressen knüpfe weder an ein konkretes Ermittlungsverfahren noch an eine [X.]efahrenlage an. Auch die Zuordnung dynamischer IP-Adressen lasse der Wortlaut bereits zur Ergänzung vorhandener Sachverhalte oder sonst zu Zwecken der Auswertung zu. Bei enger Auslegung könne eine einzelne Abfrage aber noch als verhältnismäßig anzusehen sein, wenn etwa das [X.]kriminalamt auf einer "[X.]streife" Erkenntnisse über den Anfangsverdacht einer Straftat oder einer [X.]efahrenlage erhalte. Dann sei die Abfrage der IP-Adresse ein erster Anknüpfungspunkt, um den Sachverhalt an eine zuständige Strafverfolgungs- oder Polizeibehörde weiterzuleiten.

§ 7 ZFd[X.] sei noch allgemeiner formuliert und knüpfe lediglich an die Aufgaben des [X.]s als Zentralstelle nach § 3 ZFd[X.] an. Zu den [X.] gehöre es, gemäß § 3 Abs. 9 ZFd[X.] alle notwendigen Informationen zu sammeln und auszuwerten. Über diese Vorschrift würden die [X.] gleichzeitig mit den Aufgaben des [X.]s nach §§ 4 und 5 ZFd[X.] verknüpft (eigene Strafverfolgungsaufgaben, Sicherungs- und Schutzmaßnahmen). § 15 ZFd[X.] setze ebenfalls nur die Erforderlichkeit zur Aufgabenerfüllung für das [X.] voraus.

§ 22a [X.] knüpfe die Bestandsdatenabfrage nicht durchgehend an das Vorliegen einer konkreten [X.]efahr. Die Regelung stelle die Voraussetzungen der Bestandsdatenabfrage denen der [X.]eneralklausel für Datenerhebungen nach § 21 Abs. 1 und 2 [X.] gleich. § 21 Abs. 1 [X.] lasse es aber bereits ausreichen, dass die Abfrage erforderlich sei, um irgendeine Aufgabe der [X.]polizei zu erfüllen. [X.]emäß § 21 Abs. 2 Nr. 1 [X.] sei die Datenerhebung zur Verhütung von Straftaten zulässig, soweit Tatsachen die Annahme rechtfertigten, dass betroffene Personen bestimmte Straftaten begehen wollten. Dies schließe aber nicht aus, dass sich die Prognose allein auf allgemeine Erfahrungssätze stütze (mit Verweis auf [X.] 141, 220 <291 Rn. 165>). Auch soweit § 22a Abs. 1 Satz 1 [X.] zusätzlich bestimme, dass die Datenerhebung zur Erforschung des Sachverhalts oder des Aufenthaltsorts einer Person erforderlich sein müsse, führe dies nicht zu einer hinreichenden Begrenzung.

§ 20b Abs. 3 [X.] a.F. (vgl. § 40 Abs. 1 [X.]) verweise zunächst nur auf die dem [X.]kriminalamt obliegende Aufgabe der Abwehr von [X.]efahren des internationalen Terrorismus. Soweit die Datenerhebung auch zur Verhütung von Straftaten nach § 4a Abs. 1 Satz 2 [X.] a.F. (vgl. § 5 Abs. 1 Satz 2 [X.]) zulässig sei, wenn Tatsachen die Annahme rechtfertigten, dass betroffene Personen entsprechende Straftaten begehen wollten, sei wiederum nicht ausgeschlossen, dass sich die Prognose allein auf allgemeine Erfahrungssätze stütze.

Voraussetzung für eine Bestandsdatenabfrage durch die Nachrichtendienste sei lediglich, dass sie zur Erfüllung von deren Aufgaben erforderlich sei. Dies schränke die Befugnis faktisch nicht ein, da sich die Erforderlichkeit im Bereich der Nachrichtendienste leicht begründen lasse.

Es gebe zudem Defizite bei den verfahrenssichernden Maßnahmen. Die Einführung eines [X.] für die Auskunft über den Inhaber einer IP-Adresse sei datenschutzrechtlich geboten, was maßgeblich mit dem Bedeutungszuwachs des [X.]s in den letzten Jahren zu begründen sei. Da für die allgemeine Bestandsdatenauskunft keine Benachrichtigungspflicht vorgesehen sei, erfolge die Abfrage heimlich. Dies wirke sich auf die Eingriffsintensität aus. Hierbei sei zu berücksichtigen, dass Betroffene über eine Speicherung beauskunfteter Daten in der Regel auch nicht auf anderem Wege informiert würden. Eine zentrale Protokollierung der Datenerhebungen durch die Behörden sei nicht vorgesehen. Dies könne die datenschutzrechtliche Kontrolle erschweren. Da die Daten gegenüber Betroffenen nicht offen erhoben würden, sei eine anlassunabhängige Datenschutzkontrolle notwendig, um den durch die Heimlichkeit eingeschränkten Rechtsschutz zu kompensieren.

Die [X.] sind überwiegend zulässig.

Die [X.]n wenden sich mit ihren [X.] gegen [X.] und [X.] von Bestandsdaten im manuellen Auskunftsverfahren. Unmittelbar richten sich ihre Angriffe gegen die die Diensteanbieter jeweils ermächtigenden Befugnisnormen zur Übermittlung von Bestandsdaten im Allgemeinen (§ 113 Abs. 1 Satz 1 [X.]), von Zugangsdaten (§ 113 Abs. 1 Satz 1 und 2 [X.]) und von Bestandsdaten, die anhand dynamischer IP-Adressen bestimmt werden (§ 113 Abs. 1 Satz 1 und 3 [X.]). Sie wenden sich zudem gegen die damit korrespondierenden Befugnisnormen, die die verschiedenen Sicherheitsbehörden jeweils zum Abruf dieser Daten ermächtigen. [X.] erstrecken sich die Angriffe auf die weiteren Regelungen der angegriffenen Normen, mit denen der [X.]esetzgeber die Befugnisse zur [X.]ewährleistung der Verhältnismäßigkeit flankiert und ohne die deren [X.]mäßigkeit nicht beurteilt werden kann.

Die [X.] richten sich daher gegen § 113 [X.], § 7 Abs. 3 bis 7, § 20b Abs. 3 bis 7 und § 22 Abs. 2 bis 4 [X.], § 22a [X.], § 7 Abs. 5 bis 9, § 15 Abs. 2 bis 6 ZFd[X.], § 8d BVerfSch[X.], § 2b [X.] und § 4b [X.] jeweils in der Fassung vom 20. Juni 2013 sowie gegen §§ 10, 40 [X.] in der Fassung vom 1. Juni 2017, § 4 [X.] in der Fassung vom 23. Dezember 2016 und § 7 Abs. 7, § 15 Abs. 4 ZFd[X.] in der Fassung vom 3. Dezember 2015. Dabei erstrecken sich die [X.] nicht auf die Regelungen, die die Speicherung der im manuellen Auskunftsverfahren verwendeten Bestands- und Verkehrsdaten betreffen. Nicht [X.]egenstand der [X.] sind daher die §§ 95 ff. [X.], die die Speicherung dieser Daten zu betriebsinternen Zwecken erlauben, sowie die §§ 111, 113a ff. [X.], die Diensteanbieter zur Speicherung von Bestands- und Verkehrsdaten verpflichten.

Die [X.] sind teilweise unzulässig. Soweit die [X.]n zu [X.] mit nachgereichtem Schriftsatz ihre Angriffe auf § 4 [X.] in der Fassung vom 23. Dezember 2016 und § 7 Abs. 7, § 15 Abs. 4 ZFd[X.] in der Fassung vom 3. Dezember 2015 erstreckt haben, ist ihre [X.]beschwerde verfristet. Obgleich sie schon die jeweilige Vorgängerreglung fristgemäß angegriffen haben, erstreckt sich ihre [X.]beschwerde nicht automatisch auf die an ihre Stelle getretene Norm; dies gilt selbst dann, wenn die Neuregelung ‒ wie hier § 4 [X.] ‒ inhaltsgleich zu der Vorgängerregelung ist (vgl. [X.] 87, 181 <194>).

Zwar waren die [X.]n nicht gehindert, ihre [X.]beschwerde auf die neuen Regelungen umzustellen (vgl. [X.] 87, 181 <194>), wenngleich die Frist zur Erhebung einer [X.]beschwerde durch - wie hier - bloß redaktionelle, nicht inhaltliche Änderungen der Vorschriften nicht erneut zu laufen beginnt (vgl. [X.] 12, 139 <141>; [X.]K 18, 328 <335>; vgl. auch [X.], in: [X.], [X.], 2018, § 93 Rn. 141). Wird aber [X.]n die Umstellung ihrer bereits gegen die vorherige [X.]esetzesfassung erhobenen [X.]beschwerde ermöglicht, so muss die Umstellung ihrerseits die Jahresfrist wahren. Da aber § 4 [X.] bereits zum 31. Dezember 2016 und § 7 Abs. 7, § 15 Abs. 4 ZFd[X.] zum 1. Januar 2016 in [X.] getreten sind, wahrte die am 1. April 2019 erfolgte Erstreckung der [X.]beschwerde auf diese Vorschriften nicht mehr die Jahresfrist des § 93 Abs. 3 [X.] (siehe aber zur Erstreckung nach § 78 Satz 2 [X.] unten, Rn. 267).

Für die [X.]beschwerde der [X.]n zu I[X.] gegen die § 7 Abs. 3 bis 7, § 20b Abs. 3 bis 7 und § 22 Abs. 2 bis 4 [X.] in der Fassung vom 20. Juni 2013 fehlt das Rechtsschutzinteresse, da die Regelungen am 25. Mai 2018 außer [X.] getreten sind (vgl. [X.] 100, 271 <281 f.>; 108, 370 <383>). Ein Rechtsschutzinteresse besteht hier auch nicht ausnahmsweise deshalb fort, weil ansonsten die Klärung verfassungsrechtlicher Fragen von grundsätzlicher Bedeutung unterbliebe (vgl. [X.] 81, 138 <140>; 100, 271 <281 f.>; stRspr). Die im Hinblick auf die Altregelungen auftretenden Fragen stellen sich in gleicher Weise bei den von den [X.]n zu [X.] angegriffenen Neuregelungen in §§ 10, 40 [X.], lassen sich also in diesem Zusammenhang klären.

Im Übrigen sind die [X.] zulässig.

1. Die [X.]n sind beschwerdebefugt.

a) Sie nutzen Mobilfunkkarten, Festnetzanschlüsse und [X.]zugangs-dienste und machen geltend, durch die Übermittlung und den Abruf ihrer nach §§ 95, 111 [X.] gespeicherten Daten auf der [X.]rundlage der hier angegriffenen Vorschriften in ihrem Recht auf [X.]e Selbstbestimmung aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.] sowie in ihrem [X.]rundrecht auf Wahrung des [X.] nach Art. 10 Abs. 1 [X.] verletzt zu sein. Eine [X.]rundrechtsverletzung ist jedenfalls möglich.

b) Die angegriffenen Vorschriften betreffen die [X.]n unmittelbar, selbst und gegenwärtig. Ihre [X.] erfüllen die spezifischen Anforderungen, die für unmittelbar gegen [X.]esetze gerichtete [X.] gelten.

aa) Die [X.]n sind von den angegriffenen Vorschriften unmittelbar betroffen. Zwar werden die hier angegriffenen Regelungen zur Übermittlung und zum Abruf von Bestandsdaten erst auf der [X.]rundlage weiterer Vollzugsakte in Form von Auskunftsverlangen und Auskunftserteilung wirksam. Von einer unmittelbaren Betroffenheit durch ein vollziehungsbedürftiges [X.]esetz ist jedoch auch dann auszugehen, wenn [X.] den Rechtsweg nicht beschreiten können, weil sie keine Kenntnis von der Maßnahme erlangen oder wenn eine nachträgliche Bekanntgabe zwar vorgesehen ist, von ihr aber aufgrund weitreichender Ausnahmetatbestände auch langfristig abgesehen werden kann (vgl. [X.] 150, 309 <324 Rn. 35>; stRspr). So liegt es hier.

Die [X.]n erlangen weder von dem an einen Diensteanbieter gerichteten Auskunftsverlangen noch von der Auskunftserteilung selbst verlässlich Kenntnis (vgl. auch [X.] 133, 277 <312 Rn. 84>; 150, 309 <324 f. Rn. 36>). Dies gilt auch, soweit die [X.] für die [X.] von Zugangsdaten sowie der anhand dynamischer IP-Adressen bestimmten Daten Benachrichtigungspflichten vorsehen, da diese weitreichende Ausnahmen enthalten und möglicherweise erst spät greifen (vgl. [X.] 120, 378 <394>; 141, 220 <261 Rn. 82>). Für die allgemeine Bestandsdatenauskunft bestehen von vornherein keine Benachrichtigungspflichten.

[X.]) Die [X.]n sind durch die angegriffenen Regelungen auch selbst und gegenwärtig betroffen. Da sie weithin keine verlässliche Kenntnis von den [X.], reicht es, wenn sie darlegen, mit einiger Wahrscheinlichkeit von solchen Maßnahmen berührt zu werden. Maßgeblich hierfür ist, dass die durch § 113 [X.] und die [X.] ermöglichten Auskünfte eine große Streubreite haben und Dritte auch zufällig erfassen können. Darlegungen, durch die sich die [X.]n selbst einer Straftat bezichtigen müssten, sind zum Beleg der Selbstbetroffenheit ebenso wenig erforderlich wie der Vortrag, für sicherheitsgefährdende oder nachrichtendienstlich relevante Aktivitäten verantwortlich zu sein ([X.] 130, 151 <176 f.>).

2. Die [X.] genügen den Anforderungen der Subsidiarität.

a) Auch vor Erhebung von [X.] sind nach dem [X.]rundsatz der Subsidiarität grundsätzlich alle Mittel zu ergreifen, die der geltend gemachten [X.]rundrechtsverletzung abhelfen können. Zu den zumutbaren Rechtsbehelfen kann die Erhebung einer [X.] oder Unterlassungsklage gehören, die eine fachgerichtliche Klärung entscheidungserheblicher Tatsachen- oder Rechtsfragen des einfachen Rechts ermöglicht (vgl. zuletzt [X.] 150, 309 <326 ff. Rn. 41 ff.>; stRspr). Anders liegt dies jedoch, soweit es allein um die sich unmittelbar aus der Verfassung ergebenden [X.]renzen für die Auslegung der Normen geht. Soweit die Beurteilung einer Norm allein spezifisch verfassungsrechtliche Fragen aufwirft, die das [X.]verfassungsgericht zu beantworten hat, ohne dass von einer vorausgegangenen fachgerichtlichen Prüfung verbesserte Entscheidungsgrundlagen zu erwarten wären, bedarf es einer vorangehenden fachgerichtlichen Entscheidung nicht (vgl. [X.] 123, 148 <172 f.>; 143, 246 <322 Rn. 211>; stRspr). Insoweit bleibt es dabei, dass [X.] unmittelbar gegen ein [X.]esetz weithin auch ohne vorherige Anrufung der Fachgerichte zulässig sind ([X.] 150, 309 <326 f. Rn. 44>). Eine Pflicht zur Anrufung der Fachgerichte kann auch sonst unzumutbar sein (vgl. [X.] 150, 309 <327 f. Rn. 45>).

b) Danach mussten die [X.]n vor Erhebung der [X.] keinen fachgerichtlichen Rechtsschutz gegen die angegriffenen Vorschriften suchen. Die ausschließlich gegen [X.]esetze gerichteten [X.] werfen im [X.] allein spezifisch verfassungsrechtliche Fragen auf, die das [X.]verfassungsgericht zu beantworten hat, ohne dass von einer vorausgegangenen fachgerichtlichen Prüfung substantiell verbesserte Entscheidungsgrundlagen zu erwarten wären. Die verfassungsrechtliche Beurteilung hängt nicht von der fachrechtlichen Auslegung der einzelnen Tatbestandsmerkmale der angegriffenen Befugnisse zur Übermittlung und zum Abruf von Bestandsdaten ab, sondern maßgeblich von deren hinreichender gesetzlicher Begrenzung und Bestimmtheit.

3. a) Die [X.] gegen § 113 [X.] und die fachrechtlichen [X.] in der Fassung vom 20. Juni 2013 wurden fristgerecht erhoben. Zwar regelte § 113 [X.] schon in früheren Fassungen die manuelle Bestandsdatenauskunft. Die angegriffene Neuregelung wurde aber in weiten Teilen grundlegend geändert. § 113 [X.] ist nun ausdrücklich nur als [X.] ausgestaltet, die fachrechtliche [X.] voraussetzt. Insbesondere die abrufberechtigten Behörden wurden neu geregelt und die Verwendungszwecke der Bestandsdaten abweichend begrenzt. Erstmals berechtigt die Vorschrift zur Auskunft über Bestandsdaten, die anhand einer dynamischen IP-Adresse bestimmt werden (§ 113 Abs. 1 Satz 3 [X.]).

Auch § 113 Abs. 1 Satz 2 [X.] konnte fristgerecht angegriffen werden. Zwar hat die Norm gegenüber der Vorgängerregelung vom 22. Juni 2004 ([X.] 1190) ‒ trotz geänderten Wortlauts und neuer Regelungsstruktur ‒ für sich genommen keinen grundsätzlich neuen [X.]ehalt. Die Vorgängerregelung wurde jedoch für verfassungswidrig erklärt ([X.] 130, 151). Wenn der [X.]esetzgeber nunmehr eine Regelung mit im Wesentlichen gleichem Inhalt wiederholt, stellt diese einen neuen verfassungsrechtlichen Prüfungsgegenstand dar (vgl. dazu [X.] 96, 260 <263>; 102, 127 <141>; vgl. auch [X.] 135, 259 <281 Rn. 36>). Die Jahresfrist des § 93 Abs. 3 [X.] begann daher mit Inkrafttreten der angegriffenen Regelungen zum 1. Juli 2013 neu zu laufen (vgl. auch [X.] 130, 151 <177> m.w.N.).

b) Soweit die [X.]n zu [X.] ihre [X.]beschwerde auf die am 25. Mai 2018 in [X.] getretenen §§ 10, 40 [X.] in der Fassung vom 1. Juni 2017 umgestellt haben, ist die Jahresfrist ebenfalls gewahrt. Dabei spielt es keine Rolle, dass die Neuregelungen weitgehend dem materiellen [X.]ehalt der [X.] entsprechen, da schon die [X.] fristgerecht angegriffen wurden und die Umstellung ihrerseits innerhalb der Jahresfrist erfolgte.

4. Durch die geringfügige Änderung der § 7 Abs. 7, § 15 Abs. 4 ZFd[X.] zum 1. Januar 2016 und die [X.] des § 2b [X.] als § 4 [X.] zum 31. Dezember 2016 ist das Rechtsschutzinteresse für die [X.] gegen die Vorschriften in ihrer Fassung vom 20. Juni 2013 insoweit nicht entfallen. Ihr Regelungsgehalt wurde nicht verändert und die [X.] sind von daher insoweit nicht gegenstandslos (vgl. auch [X.] 108, 370 <383>).

Die angegriffenen Vorschriften haben teilweise Bezüge zu datenschutzrechtlichen Bestimmungen in Richtlinien und Verordnungen der [X.]. [X.]leichwohl ist die Zuständigkeit des [X.]verfassungsgerichts für die Prüfung dieser Normen eröffnet und die [X.] sind zulässig, da es sich jedenfalls nicht um die Umsetzung zwingenden Unionsrechts handelt.

1. Allerdings übt das [X.]verfassungsgericht grundsätzlich keine Kontrolle über unionsrechtliches Fachrecht aus und überprüft dieses Recht nicht am Maßstab der [X.]rundrechte des [X.]rundgesetzes, solange die Unionsgrundrechte einen wirksamen Schutz der [X.]rundrechte generell bieten, der dem vom [X.]rundgesetz jeweils als unabdingbar gebotenen [X.]rundrechtsschutz im Wesentlichen gleich zu achten ist, zumal den Wesensgehalt der [X.]rundrechte generell verbürgen; maßgeblich ist insoweit eine auf das jeweilige [X.]rundrecht des [X.]rundgesetzes bezogene generelle Betrachtung (vgl. [X.] 73, 339 <387>; 102, 147 <162 f.>; 125, 260 <306>;[X.], Beschluss des [X.] vom 6. November 2019 - 1 BvR 276/17 -, Rn. 47 a.E. - Recht auf [X.]). Diese [X.]rundsätze gelten nach der bisherigen Rechtsprechung des [X.]verfassungsgerichts auch für die Überprüfung innerstaatlicher Rechtsvorschriften, die zwingende Vorgaben in [X.]s Recht umsetzen (vgl. [X.] 118, 79 <95 ff.>; [X.], Beschluss des [X.] vom 11. März 2020, - 2 BvL 5/17 -, Rn. 65). [X.], die sich gegen in diesem Sinne verbindliches Fachrecht der [X.] richten, sind danach grundsätzlich unzulässig (vgl. [X.] 118, 79 <95>; 121, 1 <15>; 125, 260 <306>; siehe hingegen zur bundesverfassungsgerichtlichen Kontrolle am Maßstab der Unionsgrundrechte im Fall der Überprüfung der Anwendung von zwingendem Recht der [X.] und der Anwendung innerstaatlicher Vorschriften, die zwingendes Unionsrecht umsetzen, [X.], Beschluss des [X.] vom 6. November 2019 - 1 BvR 276/17 -, Rn. 52; die Möglichkeit bundesverfassungsgerichtlicher Kontrolle am Maßstab der Unionsgrundrechte im Fall der Normprüfung offenlassend jetzt [X.], Beschluss des [X.] vom 6. November 2019 - 1 BvR 276/17 -, Rn. 51 a.E.; Beschluss des [X.] vom 13. Februar 2020 - 2 BvR 739/17 -, Rn. 116 - Einheitliches Patentgericht).

2. Danach sind die angegriffenen Vorschriften am Maßstab des [X.]rundgesetzes überprüfbar, denn sie beruhen nicht auf zwingenden Vorgaben des Unionsrechts. Sie setzen nicht vollständig vereinheitlichendes Unionsrecht um. Das gilt zunächst, soweit die angegriffenen Vorschriften in den Anwendungsbereich der Richtlinie 2002/58/[X.] und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation, ABl [X.], [X.] vom 31. Juli 2002, [X.], im [X.]: [X.] 2002/58/[X.]) oder der Richtlinie ([X.]) 2016/680 des [X.] und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977[X.] des Rates (ABl [X.], [X.] vom 4. Mai 2016, [X.], im [X.]: R[X.]6/680/[X.]) fallen könnten. Zielsetzung dieser Unionsrechtsakte ist der Schutz personenbezogener Daten. Sie enthalten dagegen keine Bestimmungen, die die Mitgliedstaaten zur Schaffung von Regelungen zum Abruf von Bestandsdaten verpflichten oder ihnen sonst hierzu abschließende Vorgaben machen. Vielmehr sehen sie mehr oder minder begrenzte Öffnungsklauseln vor, die den Mitgliedstaaten die Schaffung derartiger Regelungen zwar grundsätzlich ermöglichen, aber nicht gebieten (so etwa in Art. 15 Abs. 1 [X.] 2002/58/[X.]; vgl. [X.], Urteil vom 29. Januar 2008, [X.], [X.]/06, [X.]:[X.], Rn. 50) oder gehen von vornherein nicht über die Verpflichtung zur Wahrung datenschutzrechtlicher [X.]rundsätze hinaus (so etwa Kapitel II R[X.]6/680/[X.]).

Nichts Anderes gilt auch insoweit, als die Vorschriften teilweise in den Anwendungsbereich der Verordnung ([X.]) 2016/679 des [X.] und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/[X.] ([X.], ABl [X.], [X.] vom 4. Mai 2016, [X.], im [X.]: [X.]) fallen mögen. Die Datenschutzgrundverordnung erstrebt zwar grundsätzlich eine unionsrechtliche Vereinheitlichung des Datenschutzes. Dies besagt aber nicht, dass alle Einzelregelungen unionsweit vereinheitlicht sind. So belassen für die hier in Frage stehenden Regelungen insbesondere Art. 6 Abs. 2 und 3 [X.] den Mitgliedstaaten erhebliche [X.]estaltungsspielräume (vgl. [X.]/[X.] u.a., Die [X.] und das nationale Recht, 2016, [X.]; anders hingegen für die dortige Rechtslage [X.], Beschluss des [X.] vom 6. November 2019 - 1 BvR 276/17 -, Rn. 33 ff.).

Handelt es sich also - wie vorliegend - nicht um vollständig unionsrechtlich determiniertes Recht, sondern um innerstaatliche Normen im nicht voll vereinheitlichten Bereich, prüft das [X.]verfassungsgericht die angegriffenen Normen am Maßstab der [X.]rundrechte des [X.]rundgesetzes. Das gilt im [X.]rundsatz unabhängig davon, ob und wieweit die angegriffenen Vorschriften nach der Rechtsprechung des [X.]erichtshofs der [X.] zugleich als Durchführung des Unionsrechts im Sinne des Art. 51 Abs. 1 Satz 1 [X.] angesehen werden können (vgl. zur [X.] 2002/58/[X.] [X.], Urteil vom 21. Dezember 2016, [X.] Sverige und [X.] u.a., [X.]/15 u.a., [X.]:C:2016:970, Rn. 78 ff.; Urteil vom 2. Oktober 2018, Ministerio Fiscal, [X.]/16, [X.]:C:2018:788, Rn. 29 ff.) und deshalb daneben auch die Unionsgrundrechte [X.]eltung beanspruchen können (vgl. dazu [X.], Beschluss des [X.] vom 6. November 2019 - 1 BvR 16/13 -, Rn. 39 - Recht auf Vergessen I; näher unter Rn. 261).

3. Unberührt bleibt hiervon die Frage, ob sich weitere rechtliche Anforderungen unmittelbar aus dem Sekundärrecht der [X.] ergeben, insbesondere aus Art. 15 Abs. 1 [X.] 2002/58/[X.] hinsichtlich der Reichweite der den Diensteanbietern auferlegten Pflichten. Die Auslegung und Anwendung des [X.] der [X.] ist nicht Sache des [X.]verfassungsgerichts, sondern obliegt den Fachgerichten im Verbund mit dem [X.] ([X.], Urteil des [X.] vom 19. Mai 2020 - 1 BvR 2835/17 -, Rn. 85 m.w.N. - [X.] - Ausland-Ausland-Aufklärung).

Die [X.] sind überwiegend begründet. Die angegriffenen Vorschriften genügen in weiten Teilen nicht den Anforderungen an die Verhältnismäßigkeit.

Die Regelungen zur Übermittlung und zum Abruf von Bestandsdaten greifen in das Recht auf [X.]e Selbstbestimmung des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.] ein. Soweit sie auch zur Übermittlung und zum Abruf von Bestandsdaten ermächtigen, die anhand dynamischer IP-Adressen bestimmt werden, liegt ein Eingriff in das speziellere Telekommunikationsgeheimnis des Art. 10 Abs. 1 [X.] vor.

1. § 113 Abs. 1 Satz 1 und 2 [X.] sowie die damit korrespondierenden fachrechtlichen [X.] (§ 10 Abs. 1 Satz 1 und 2, § 40 Abs. 1 Satz 1 und 2 [X.], § 22a Abs. 1 Satz 1 und 2 [X.], § 7 Abs. 5 Satz 1 und 2, § 15 Abs. 2 Satz 1 und 2 ZFd[X.], § 8d Abs. 1 Satz 1 und 2 BVerfSch[X.] sowie § 2b Satz 1 [X.] und § 4b Satz 1 [X.], soweit sie Bezug auf § 8d Abs. 1 Satz 1 und 2 BVerfSch[X.] nehmen) greifen in das Recht auf [X.]e Selbstbestimmung ein.

a) Das Recht auf [X.]e Selbstbestimmung trägt [X.]efährdungen und Verletzungen der Persönlichkeit Rechnung, die sich unter den Bedingungen moderner Datenverarbeitung aus informationsbezogenen Maßnahmen ergeben (vgl. [X.] 65, 1 <42>; 120, 378 <397>). Die freie Entfaltung der Persönlichkeit setzt den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz ist von dem [X.]rundrecht aus Art. 2 Abs. 1 [X.] in Verbindung mit Art. 1 Abs. 1 [X.] umfasst. Das [X.]rundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen ([X.] 113, 29 <46> m.w.N.). Die [X.]ewährleistung greift insbesondere, wenn die Entfaltung der Persönlichkeit dadurch gefährdet wird, dass personenbezogene Informationen von staatlichen Behörden in einer Art und Weise genutzt und verknüpft werden, die Betroffene weder überschauen noch beherrschen können (vgl. [X.] 118, 168 <184>). Hierunter fallen auch personenbezogene Informationen zu den Modalitäten der Bereitstellung von Telekommunikation (vgl. [X.] 130, 151 <184>; vgl. auch [X.], Urteil vom 2. Oktober 2018, Ministerio Fiscal, [X.]/16, [X.]:C:2018:788, Rn. 51).

Vorschriften, die zum Umgang mit personenbezogenen Daten durch staatliche Behörden ermächtigen, begründen in der Regel verschiedene, aufeinander aufbauende Eingriffe. Es ist zwischen der Erhebung, Speicherung und Verwendung von Daten zu unterscheiden (vgl. [X.] 100, 313 <366 f.>; 120, 378 <400 f.>; 125, 260 <310>; vgl. auch [X.]MR ([X.]), S. and Marper v. The United Kingdom, Urteil vom 4. Dezember 2008, Nr. 30562/04 u.a., § 67; [X.], Urteil vom 8. April 2014, [X.] und [X.] u.a., [X.] u.a., [X.]:[X.], Rn. 34 ff.). Bei der Regelung eines Datenaustauschs zur staatlichen Aufgabenwahrnehmung ist darüber hinaus aber auch zwischen der Datenübermittlung seitens der auskunfterteilenden Stelle und dem Datenabruf seitens der auskunftsuchenden Stelle zu unterscheiden. Ein Datenaustausch vollzieht sich durch die einander korrespondierenden Eingriffe von Abfrage und Übermittlung, die jeweils einer eigenen Rechtsgrundlage bedürfen. Der [X.]esetzgeber muss, bildlich gesprochen, nicht nur die Tür zur Übermittlung von Daten öffnen, sondern auch die Tür zu deren Abfrage. Erst beide Rechtsgrundlagen gemeinsam, die wie eine Doppeltür zusammenwirken müssen, berechtigen zu einem Austausch personenbezogener Daten ([X.] 130, 151 <184>).

b) Die angegriffenen Vorschriften greifen in das Recht auf [X.]e Selbstbestimmung ein.

Einen eigenständigen [X.]rundrechtseingriff begründen zunächst § 113 Abs. 1 Satz 1 und 2 [X.], die die Diensteanbieter auf Verlangen einer abrufberechtigten Behörde verpflichten, über die von ihnen nach den §§ 95 und 111 [X.] gespeicherten Daten Auskunft zu erteilen (vgl. [X.] 130, 151 <185>). Zwar berechtigen die Regelungen allein noch nicht zum Datenaustausch. Vielmehr bedarf es - nach dem Bild einer Doppeltür - für den Abruf der Daten einer weiteren Rechtsgrundlage (vgl. [X.] 125, 260 <312>; 130, 151 <185>; 150, 244 <278 Rn. 80>; 150, 309 <335 Rn. 68>). Doch obgleich § 113 [X.] seitens der abrufberechtigten Behörden eigene Erhebungsbefugnisse voraussetzt, haben § 113 Abs. 1 Satz 1 und 2 [X.] allein als Rechtsgrundlage für die Übermittlung bereits Eingriffsqualität (vgl. [X.] 130, 151 <185>). Schon die Bestimmung der Verwendungszwecke und die Befugnis zur Datenübermittlung als Teil der [X.]ung begründen den [X.]. Dabei ist es unerheblich, dass § 113 [X.] eine Übermittlung der Daten seitens privater Diensteanbieter betrifft (vgl. [X.] 125, 260 <312>).

Ein hiervon zu unterscheidender, eigenständiger Eingriff liegt in den mit § 113 Abs. 1 Satz 1 und 2 [X.] korrespondierenden [X.] des [X.], die den in § 113 [X.] tatbestandlich vorausgesetzten Abruf der Daten seitens der auskunftsberechtigten Behörden regeln (vgl. [X.] 130, 151 <185>).

2. § 113 Abs. 1 Satz 3 [X.] sowie die damit korrespondierenden fachrechtlichen [X.] (§ 10 Abs. 2, § 40 Abs. 2 [X.], § 22a Abs. 2 [X.], § 7 Abs. 6, § 15 Abs. 3 ZFd[X.], § 8d Abs. 2 Satz 1 BVerfSch[X.] sowie § 2b Satz 1 [X.] und § 4b Satz 1 [X.], soweit sie Bezug auf § 8d Abs. 2 Satz 1 BVerfSch[X.] nehmen), die eine Zuordnung dynamischer IP-Adressen ermöglichen, greifen in Art. 10 Abs. 1 [X.] ein.

a) Art. 10 Abs. 1 [X.] gewährleistet das Telekommunikationsgeheimnis, das die unkörperliche Übermittlung von Informationen an individuelle Empfänger mit Hilfe des [X.] vor einer Kenntnisnahme durch die öffentliche [X.]ewalt schützt. Dabei erfasst Art. 10 Abs. 1 [X.] nicht nur die Inhalte der Kommunikation. [X.] ist vielmehr auch die Vertraulichkeit der näheren Umstände des [X.], zu denen insbesondere gehört, ob, wann und wie oft zwischen welchen Personen oder Telekommunikationseinrichtungen Telekommunikationsverkehr stattgefunden hat oder versucht worden ist (vgl. [X.] 125, 260 <309> m.w.N.; stRspr). Art. 10 Abs. 1 [X.] schützt allerdings allein die Vertraulichkeit konkreter [X.] und nicht die bloße Zuordnung einer Telekommunikationsnummer oder einer statischen IP-Adresse zu einem [X.]inhaber als solche. Außerhalb der laufenden Telekommunikation verortet, geben diese Nummern lediglich abstrakt darüber Auskunft, welcher Bürger über welche Telekommunikationsmittel verfügt und über sie erreichbar ist, ohne dass unmittelbar ein Bezug zu einem konkreten Telekommunikationsvorgang besteht. Dies stellt für sich genommen die Vertraulichkeit einzelner Kommunikationsvorgänge nicht in Frage (vgl. [X.] 130, 151 <180 f.>).

Anders liegt es demgegenüber bei der identifizierenden Zuordnung dynamischer IP-Adressen. Diese fällt in den Schutzbereich des Art. 10 Abs. 1 [X.] (vgl. [X.] 130, 151 <181>; vgl. auch [X.]MR, Benedik v. Slovenia, Urteil vom 24. April 2018, [X.], §§ 130 ff., wonach derartige Maßnahmen das Recht auf Achtung des Privatlebens aus Art. 8 Abs. 1 [X.] berühren). Allerdings ergibt sich dies nicht schon daraus, dass sich die Zuordnung einer dynamischen IP-Adresse notwendig immer auf einen bestimmten Telekommunikationsvorgang bezieht, über den sie damit mittelbar ebenso Auskunft gibt. Denn auch insoweit betrifft die Auskunft selbst nur Daten, die einem [X.]inhaber abstrakt zugewiesen sind. Die Betroffenheit des Art. 10 Abs. 1 [X.] wird hier vielmehr dadurch begründet, dass die Diensteanbieter für die Identifizierung einer dynamischen IP-Adresse in einem Zwischenschritt die entsprechenden Verbindungsdaten ihrer Kunden sichten und dafür auf konkrete [X.] zugreifen müssen. Diese von den Diensteanbietern gespeicherten Telekommunikationsverbindungen unterliegen dem Schutz des [X.] und zwar unabhängig davon, ob sie von den Diensteanbietern auf vertraglicher [X.]rundlage (vgl. § 96 [X.]) gespeichert (vgl. [X.] 130, 151 <181 ff.>) oder aufgrund gesetzlicher Verpflichtung (vgl. §§ 113a, 113b [X.]) vorrätig gehalten werden müssen (vgl. [X.] 125, 260 <312>). Die staatlich auferlegte Pflicht zu deren Nutzung ist selbst dann an Art. 10 Abs. 1 [X.] zu messen, wenn die Verbindungsdaten selbst nicht herausgegeben werden (vgl. [X.] 130, 151 <182 f.>).

Das aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.] folgende Recht auf [X.]e Selbstbestimmung kommt neben Art. 10 [X.] nicht zur Anwendung, denn bezogen auf die Telekommunikation enthält Art. 10 [X.] eine spezielle [X.]arantie, die die allgemeine Vorschrift verdrängt und aus der sich besondere Anforderungen für die Daten ergeben, die durch Eingriffe in das Telekommunikationsgeheimnis erlangt werden. Insoweit lassen sich allerdings die Maßgaben, die das [X.]verfassungsgericht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.] entwickelt hat, weitgehend auf die speziellere [X.]arantie des Art. 10 [X.] übertragen (vgl. [X.] 100, 313 <358 f.>; 125, 260 <310>).

b) Nach diesen Maßstäben greift § 113 Abs. 1 Satz 3 [X.] in das [X.]rundrecht aus Art. 10 Abs. 1 [X.] ein, da er die Zuordnung dynamischer IP-Adressen zu ihren [X.]inhabern ermöglicht. [X.]egenstand der Auskunft ist zwar allein der [X.]inhaber der abgefragten IP-Adresse und damit ein Bestandsdatum. Soweit die Diensteanbieter hierüber Auskunft zu geben haben, müssen sie aber zunächst auf die von ihnen gespeicherten Verkehrsdaten sowie gegebenenfalls weitere unternehmensinterne Datenquellen (vgl. § 113 Abs. 1 Satz 4 [X.]), bei denen es sich ebenfalls um Verbindungsdaten handeln kann, zugreifen und diese auswerten. Soweit § 113 Abs. 1 Satz 3 [X.] die Nutzung von Verkehrsdaten eröffnet, die aufgrund der Regelungen zur Vorratsdatenspeicherung gespeichert wurden, ist die Vorschrift überdies schon deshalb an Art. 10 Abs. 1 [X.] zu messen, weil sie eine Folgeverwendung von Daten ermöglicht, die einmal in Form eines Eingriffs in Art. 10 Abs. 1 [X.] erhoben worden sind (vgl. [X.] 125, 260 <312 f.>).

c) Die angegriffenen fachrechtlichen [X.] begründen einen eigenständigen Eingriff in Art. 10 Abs. 1 [X.], soweit sie zur Abfrage anhand einer dynamischen IP-Adresse bestimmter Bestandsdaten durch jeweils auskunftsberechtigte Behörden ermächtigen.

Die angegriffenen Vorschriften sind formell verfassungsgemäß. Insbesondere steht dem [X.] sowohl für § 113 [X.] als auch für die [X.] in den jeweiligen Fachgesetzen die [X.]esetzgebungskompetenz zu.

1. Der [X.] kann die in § 113 [X.] enthaltenen Regelungen kraft Sachzusammenhangs zu seiner Kompetenz für das Telekommunikationsrecht nach Art. 73 Abs. 1 Nr. 7 [X.] treffen.

a) Die Kompetenz kraft Sachzusammenhangs ermöglicht dem [X.] die Regelung solcher datenschutzrechtlicher Bestimmungen, die verständigerweise nur im Zusammenhang mit den Bestimmungen zur Errichtung einer Telekommunikationsinfrastruktur und zur Informationsübermittlung mit Hilfe von Telekommunikationsanlagen geregelt werden können (vgl. [X.] 125, 260 <314>; 130, 151 <192>). Dazu gehören neben Bestimmungen zum Schutz der Daten umgekehrt auch Bestimmungen, die die [X.]renzen dieses Schutzes bestimmen und festlegen, unter welchen Bedingungen und zu welchen Zwecken Daten für die Wahrnehmung öffentlicher Aufgaben zur Verfügung gestellt werden ([X.] 130, 151 <192 f.>). Hiernach kann der [X.] die Telekommunikationsdiensteanbieter berechtigen und - in Korrespondenz zu einer fachrechtlich begründeten Auskunftspflicht - auch verpflichten, für bestimmte, von ihm im Einzelnen zu regelnde Zwecke solche Daten bei Vorliegen eines wirksamen Datenabrufs an bestimmte Behörden zu übermitteln ([X.] 130, 151 <200 f.> m.w.N.). Insbesondere kann er auch diejenigen Regelungen treffen, die notwendig sind, damit die Übermittlung von Daten an Strafverfolgungs- und [X.]efahrenabwehrbehörden sowie Nachrichtendienste den grundrechtlichen Anforderungen genügen (vgl. [X.] 125, 260 <315>). Demgegenüber endet die [X.] dort, wo es um den Abruf solcher Informationen geht. Die Ermächtigungen zum Datenabruf selbst bedürfen eines eigenen [X.]s oder müssen den Ländern überlassen bleiben (vgl. [X.] 125, 260 <315>; 130, 151 <193>).

b) § 113 [X.] hält sich innerhalb der so gezogenen [X.]renzen. Die Regelung ist darauf beschränkt, die Diensteanbieter zur Übermittlung von Daten zu berechtigen und die Zwecke und Bedingungen für den staatlichen Zugriff auf die Daten zu bestimmen; sie entspricht insofern strukturell ihrer Vorgängervorschrift in deren verfassungskonformer Auslegung (vgl. [X.] 130, 151 <200 ff.>). Der staatliche Zugriff auf die Daten sowie die Inpflichtnahme der privaten Diensteanbieter bleiben - auch soweit dem [X.] die fachrechtliche Kompetenz für derartige Regelungen zusteht - eigenen [X.] überlassen. Die Kompetenz des [X.] besteht auch, soweit § 113 Abs. 4 [X.] den Diensteanbietern auferlegt, die Daten unverzüglich und vollständig zu übermitteln und über die Auskunftserteilung Stillschweigen zu wahren. Derartige Regelungen knüpfen an anderweitig begründete Übermittlungspflichten an und präzisieren die Bedingungen, unter denen Daten zur Wahrnehmung öffentlicher Aufgaben zur Verfügung gestellt werden.

2. Der [X.] kann auch die angegriffenen [X.] auf der [X.]rundlage ihm zustehender [X.]esetzgebungskompetenzen erlassen.

a) Der Erlass von Bestimmungen, die den Datenabruf selbst regeln, richtet sich nach den allgemeinen [X.]esetzgebungskompetenzen. Dieser kann nicht auf Art. 73 Abs. 1 Nr. 7 [X.] gestützt werden, denn die Inpflichtnahme Privater, die diese zugleich zur Preisgabe der Daten ihrer Kunden zwingt, gehört nicht mehr zur Bestimmung der [X.]renzen des telekommunikationsbezogenen Datenschutzes, sondern ist untrennbarer Bestandteil des Datenabrufs (vgl. [X.] 130, 151 <201>). [X.] sind daher auf der [X.]rundlage jeweils derjenigen Kompetenznorm zu schaffen, die die [X.]esetzgebung für die mit der Datenverwendung verfolgten Aufgaben regelt (vgl. [X.] 113, 348 <368>; 125, 260 <314, 346>). Die allgemeinen [X.]esetzgebungskompetenzen umfassen neben der Abrufermächtigung auch die Wahrung der weiteren verfassungsrechtlichen Anforderungen an die Ausgestaltung der Datenverwendung wie insbesondere die Regelungen zur Benachrichtigung der Betroffenen und zur [X.]ewährleistung eines effektiven Rechtsschutzes (vgl. [X.] 125, 260 <346 f.>).

Im Bereich der [X.]efahrenabwehr (auch soweit die Verhütung von Straftaten betroffen ist) liegt die [X.]esetzgebungszuständigkeit weithin bei den Ländern (vgl. [X.] 113, 348 <368 f.>; 125, 260 <346>). Jedoch kommen dem [X.] auch in diesen Bereichen partiell ausschließliche oder konkurrierende [X.]esetzgebungszuständigkeiten zu.

b) Für die hier angegriffenen [X.] bestehen [X.]esetzgebungszuständigkeiten des [X.].

aa) Für den Datenabruf durch das [X.]kriminalamt im Rahmen seiner Aufgaben als Zentralstelle gemäß § 10 Abs. 1 Satz 1 Nr. 1 [X.] ergibt sich die [X.]esetzgebungskompetenz des [X.] aus Art. 73 Abs. 1 Nr. 10 Buchstabe a [X.]. Danach hat der [X.] die ausschließliche Kompetenz zur [X.]esetzgebung über die Zusammenarbeit des [X.] und der Länder in der Kriminalpolizei, die internationale Verbrechensbekämpfung sowie die Einrichtung eines [X.]kriminalpolizeiamtes, welche ihn zur Errichtung des [X.]kriminalamts und gemeinsam mit der Verwaltungskompetenz des Art. 87 Abs. 1 Satz 2 [X.] zur Übertragung der von § 10 Abs. 1 Satz 1 Nr. 1 [X.] in Bezug genommenen [X.] ermächtigt. Dies schließt die Möglichkeit ein, dem [X.]kriminalamt im Rahmen dieser Aufgaben Befugnisse einzuräumen (vgl. [X.] 133, 277 <317 f. Rn. 97>; vgl. auch [X.], in: [X.]/[X.], [X.], Art. 73 Rn. 250 (April 2010); [X.], in: [X.], [X.], 8. Aufl. 2018, Art. 73 Rn. 52).

Soweit § 10 Abs. 1 Satz 1 Nr. 2 [X.] die Bestandsdatenauskunft zum Schutz von Mitgliedern der ([X.]-)[X.]organe und der Leitung des [X.]kriminalamts eröffnet, folgt die [X.]esetzgebungskompetenz des [X.] aus der Natur der Sache (vgl. BTDrucks 7/178, S. 7; 13/1550, [X.]; vgl. auch [X.], in: [X.]/[X.]/Ruthig, Sicherheitsrecht des [X.], 2. Aufl. 2019, § 6 [X.] Rn. 2; a.[X.], Terrorismusabwehr durch das [X.]kriminalamt, 2009, [X.]). Die Regelung der dem Zeugenschutz dienenden Bestandsdatenauskunft nach § 10 Abs. 1 Satz 1 Nr. 3 [X.] steht dem [X.] als Annex kraft Sachzusammenhangs zu der in Art. 74 Abs. 1 Nr. 1 [X.]. 4 [X.] geregelten Kompetenz für das gerichtliche Verfahren auf dem [X.]ebiet des Strafrechts zu [X.], NJW 1997, S. 2137 <2140>; [X.]riesbaum, NStZ 1998, [X.]33 <435>; Bäcker, Terrorismusabwehr durch das [X.]kriminalamt, 2009, S. 27).

Die [X.]esetzgebungskompetenz des [X.] für die durch § 40 [X.] eröffnete Bestandsdatenauskunft ergibt sich aus Art. 73 Abs. 1 Nr. 9a [X.]. Die Befugnis dient mittels der Verweise über § 39 Abs. 1 und 2 [X.] auf § 5 Abs. 1 [X.] der Abwehr der in dem [X.] geregelten [X.]efahren des internationalen Terrorismus.

[X.]) § 22a [X.] eröffnet die Bestandsdatenauskunft über einen Verweis auf § 21 Abs. 1 [X.] für das gesamte Aufgabenspektrum der [X.]polizei. Für die innerhalb dieses Spektrums liegenden Aufgaben stehen dem [X.] etwa nach Art. 73 Abs. 1 Nr. 5 [X.] für den [X.]renzschutz und nach Art. 73 Abs. 1 Nr. 6a [X.] für die Bahnpolizei (vgl. [X.] 97, 198 <221 f.>) [X.]esetzgebungskompetenzen zu.

[X.]) §§ 7, 15 ZFd[X.] beruhen auf der in Art. 73 Abs. 1 Nr. 5 [X.] normierten [X.]esetzgebungskompetenz des [X.] für den Zoll- und [X.]renzschutz, die auch präventiv-polizeiliche Maßnahmen umfasst (vgl. [X.] 110, 33 <48>; 133, 277 <320 Rn. 102>).

dd) Die Zuständigkeit für § 8d BVerfSch[X.] ergibt sich aus Art. 73 Nr. 10 Buchstabe b [X.]. Danach steht dem [X.] die ausschließliche Kompetenz für die Zusammenarbeit des [X.] und der Länder im Bereich des [X.]es zu. Diese umfasst zwar nicht die allgemeine Zuständigkeit für den [X.] (vgl. [X.] 113, 63 <79>). Jedoch ermöglicht der [X.] dem [X.], auch in gewissem Umfang selbst im Bereich des [X.]es tätig zu werden und dem [X.]amt für [X.] die für seine Aufgaben erforderlichen Befugnisse einzuräumen (vgl. [X.] 30, 1 <20, 29>; 134, 141 <180 Rn. 113>). Hierzu gehören auch die hier in Frage stehenden Befugnisse.

ee) Soweit § 2b [X.] den [X.]nachrichtendienst zur Abfrage von Bestandsdaten ermächtigt, um Erkenntnisse über das Ausland von außen- und sicherheitspolitischer Bedeutung zu gewinnen, kann sich der [X.] auf seine Kompetenz nach Art. 73 Abs. 1 Nr. 1 [X.] für auswärtige Angelegenheiten stützen. Der [X.] berechtigt den [X.]gesetzgeber zwar nicht dazu, Befugnisse einzuräumen, die auf die Verhütung, Verhinderung oder Verfolgung von Straftaten als solche gerichtet sind (vgl. [X.] 100, 313 <370>; 133, 277 <319 Rn. 101>). Dem [X.]nachrichtendienst kann aber auf dieser Kompetenzgrundlage über die Aufgabe einer für die politische Handlungsfähigkeit bedeutsamen Unterrichtung der [X.]regierung hinaus als eigene Aufgabe auch die Früherkennung von aus dem Ausland drohenden [X.]efahren anvertraut werden, wenn diese eine hinreichend internationale Dimension aufweisen, es sich mithin um [X.]efahren handelt, die sich ihrer Art und ihrem [X.]ewicht nach auf die Stellung der [X.]republik Deutschland in der [X.] auswirken können und gerade in diesem Sinne von außen- und sicherheitspolitischer Bedeutung sind (vgl. [X.], Urteil des [X.] vom 19. Mai 2020 - 1 BvR 2835/17 -, Rn. 128).

ff) Die kompetenzrechtliche [X.]rundlage für § 4b [X.] ergibt sich aus Art. 73 Abs. 1 Nr. 1 [X.] (Verteidigung) (vgl. [X.] 133, 277 <320 Rn. 102>).

gg) Soweit die angegriffenen [X.] auch der Strafverfolgung (vgl. etwa § 10 Abs. 1 Satz 1 Nr. 1, § 2 Abs. 2 Nr. 1 und Abs. 6 [X.]) oder der [X.] (vgl. etwa § 15 Abs. 2 Satz 1, § 4 Abs. 2 und 3 ZFd[X.]) dienen, verfügt der [X.] nach Art. 74 Abs. 1 Nr. 1 [X.]. 4 [X.] über die Kompetenz zur Regelung des Strafverfahrens. Die Kompetenzmaterie "gerichtliches Verfahren" im Sinne des Art. 74 Abs. 1 Nr. 1 [X.]. 4 [X.] ist weit zu verstehen. Sie erstreckt sich auf das Strafverfahrensrecht als das Recht der Aufklärung und Aburteilung von Straftaten; hierzu gehören die Ermittlung und Verfolgung von Straftätern einschließlich der Fahndung nach ihnen (vgl. [X.] 150, 244 <273 Rn. 67>) und damit auch die angegriffenen Regelungen, soweit sie repressive Tätigkeiten der ermächtigten Behörden betreffen. Daneben erfasst Art. 74 Abs. 1 Nr. 1 [X.]. 4 [X.] auch die [X.] (vgl. [X.] 103, 21 <30>; 113, 348 <370 f.>; 150, 244 <274 Rn. 68>).

3. Die angegriffenen Regelungen über die Zuordnung dynamischer IP-Adressen genügen dem für Eingriffe in das Fernmeldegeheimnis geltenden Zitiergebot des Art. 19 Abs. 1 Satz 2 [X.]. Art. 9 des Änderungsgesetzes vom 20. Juni 2013 ([X.] 1602) weist auf die Einschränkung des Art. 10 [X.] durch Art. 1 bis 8 des Änderungsgesetzes ausdrücklich hin. Der [X.] des [X.] (vgl. [X.] 64, 72 <79 f.>; 120, 274 <343>) wird damit genügt. Dass das eingeschränkte [X.]rundrecht nur in einem Artikel des Änderungsgesetzes und zudem nicht durchgängig in der jeweils zur Einschränkung ermächtigenden Norm genannt wird, ist verfassungsrechtlich hinnehmbar, wenngleich die konkrete Bezugnahme in der Ermächtigungsnorm der Ratio des [X.] am besten entsprechen dürfte (vgl. [X.], in: von [X.]/[X.]/[X.], [X.], 7. Aufl. 2018, Art. 19 Rn. 96; siehe auch Singer, [X.], [X.]96 <501>; [X.], in: von [X.]/[X.], [X.], [X.], 6. Aufl. 2012, Art. 19 Rn. 14; a.[X.], in: [X.]/Papier, H[X.]Re, [X.], 2009, § 67 Rn. 31), wie dies in den § 8d Abs. 6 BVerfSch[X.], § 2b Satz 3 [X.] und § 4b Satz 3 [X.] klarstellend (vgl. BTDrucks 17/12034, [X.]5) erfolgt ist.

Einer erneuten Beachtung des [X.] bei der Einführung der §§ 10, 40 [X.] durch das [X.]esetz zur Neustrukturierung des [X.]kriminalamtgesetzes vom 1. Juni 2017 bedurfte es nicht. Die [X.] betrifft zwar nicht nur die erstmalige [X.]rundrechtseinschränkung, sondern wird bei jeder erheblichen Veränderung der Eingriffsvoraussetzungen bedeutsam, die zu neuen [X.] führt. Bei [X.]esetzen, die lediglich bereits geltende [X.] unverändert oder - wie hier - mit geringen Abweichungen wiederholen, findet das Zitiergebot hingegen keine Anwendung (vgl. [X.] 129, 208 <237> m.w.N.).

Die angegriffenen [X.] in § 113 [X.] genügen in materieller Hinsicht nicht den verfassungsrechtlichen Anforderungen des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.] sowie des Art. 10 Abs. 1 [X.].

1. Eingriffe in das Recht auf [X.]e Selbstbestimmung und das Telekommunikationsgeheimnis bedürfen wie jede [X.]rundrechtsbeschränkung einer gesetzlichen Ermächtigung, die einen legitimen [X.]emeinwohlzweck verfolgt und im Übrigen den [X.]rundsatz der Verhältnismäßigkeit wahrt (vgl. [X.] 65, 1 <44>; 100, 313 <359 f.>; stRspr). Sie müssen daher zur Erreichung des legitimen Zwecks geeignet, erforderlich und verhältnismäßig im engeren Sinne sein (vgl. [X.] 141, 220 <265 Rn. 93>; stRspr). Dabei bedürfen sie einer gesetzlichen [X.]rundlage, welche die Datenverwendung auf spezifische Zwecke hinreichend begrenzt. Alle angegriffenen Befugnisse sind zudem am [X.]rundsatz der Normenklarheit und Bestimmtheit zu messen, der der Vorhersehbarkeit von Eingriffen für die Bürgerinnen und Bürger, einer wirksamen Begrenzung der Befugnisse gegenüber der Verwaltung sowie der Ermöglichung einer effektiven Kontrolle durch die [X.]erichte dient ([X.] 141, 220 <265 Rn. 94>; vgl. auch [X.], Urteil vom 6. Oktober 2015, [X.], [X.]/14, [X.]:[X.], Rn. 91; [X.]MR ([X.]), S. and Marper v. The United Kingdom, Urteil vom 4. Dezember 2008, Nr. 30562/04 u.a., § 99).

2. Die angegriffenen Übermittlungsregelungen dienen legitimen Zwecken und sind hierfür geeignet und erforderlich.

a) Die Regelungen ermöglichen den Sicherheitsbehörden insbesondere, Telekommunikationsanschlüsse und dynamische IP-Adressen individuellen [X.]inhabern zuzuordnen sowie Zugangsdaten von [X.] und Speichereinrichtungen zu erfragen. Die hiermit erstrebte Unterstützung der staatlichen Aufgabenwahrnehmung dient der Effektivierung der Strafverfolgung und der [X.]efahrenabwehr sowie der Erfüllung der Aufgaben der Nachrichtendienste, mithin legitimen Zwecken, die einen Eingriff sowohl in das Recht auf [X.]e Selbstbestimmung als auch in das Telekommunikationsgeheimnis grundsätzlich rechtfertigen können (vgl. [X.] 125, 260 <316 f.>; 130, 151 <187, 205>; vgl. auch [X.], Urteil vom 2. Oktober 2018, Ministerio Fiscal, [X.]/16, [X.]:C:2018:788, Rn. 57).

b) Die in § 113 [X.] gewährten [X.] sind zum Erreichen dieser Zwecke auch geeignet. Sie schaffen [X.], die sonst nicht bestünden, und die angesichts der zunehmenden Bedeutung der Telekommunikation auch für die Vorbereitung und Begehung von Straftaten in vielen Fällen erfolgversprechend sind. Auch wenn das manuelle Auskunftsverfahren nicht sicherstellen kann, dass Bestandsdaten verlässlich mitgeteilt werden können, weil (potentielle) Straftäter und sonstige Zielpersonen etwa öffentliche Hotspots, [X.]cafés oder unter Falschpersonalien angemeldete Anschlüsse nutzen oder die ihnen zugewiesene IP-Adresse durch Nutzung spezieller Programme verschleiern, wird die Zweckerreichung jedenfalls gefördert. Die verschiedenen Befugnisse sind hierfür auch erforderlich. Andere Mittel, die vergleichbar effektiv die Informationsmöglichkeiten der Behörden in weniger einschneidender Weise ermöglichten, sind nicht ersichtlich.

3. Mit den Anforderungen der Verhältnismäßigkeit im engeren Sinne sind die Übermittlungsregelungen nur vereinbar, wenn sie die Verwendungszwecke der einzelnen Befugnisse gemessen an ihrem Eingriffsgewicht selbst hinreichend normenklar begrenzen (a). Diesen Anforderungen genügen die angegriffenen Befugnisse zur allgemeinen Übermittlung von Bestandsdaten (b), zur Übermittlung von Zugangsdaten (c) und zur Übermittlung von anhand einer dynamischen IP-Adresse bestimmter Bestandsdaten (d) nicht, wenngleich die Regelungen zur Datensicherheit keinen Bedenken begegnen (e).

a) Dem [X.] im engeren Sinne genügen die Übermittlungsregelungen, wenn der mit ihnen verfolgte Zweck und die zu erwartende Zweckerreichung nicht außer Verhältnis zu der Schwere des Eingriffs stehen (vgl. [X.] 141, 220 <267 Rn. 98>; 148, 40 <57 f. Rn. 49>). Das Eingriffsgewicht bestimmt sich maßgeblich nach Art, Umfang und denkbarer Verwendung der Daten sowie der [X.]efahr ihres Missbrauchs (aa). Die Verwendungszwecke der Daten sind schon durch den [X.]esetzgeber der Übermittlungsregelung für sich genommen verhältnismäßig und normenklar zu begrenzen ([X.]). Im Übrigen muss die verfassungsrechtlich gebotene Datensicherheit bei Übermittlung der Daten gewährleistet sein ([X.]).

aa) Das Eingriffsgewicht wird vor allem durch Art, Umfang und denkbare Verwendung der Daten sowie die [X.]efahr ihres Missbrauchs bestimmt (vgl. [X.] 65, 1 <45 f.>). Dabei ist bedeutsam, welche und wie viele [X.]rundrechtsträger wie intensiven Beeinträchtigungen ausgesetzt sind und unter welchen Voraussetzungen dies geschieht, insbesondere, ob diese Personen hierfür einen Anlass gegeben haben. Maßgebliche Kriterien sind also die Zahl der Betroffenen und die Intensität der Beeinträchtigungen (vgl. [X.] 100, 313 <376>), die sich vor allem nach der Aussagekraft und den Verwendungsmöglichkeiten der Daten bestimmt. Auch die Heimlichkeit einer staatlichen Eingriffsmaßnahme führt zur Erhöhung des [X.] (vgl. [X.] 115, 320 <353>; 141, 220 <265 Rn. 94>; vgl. auch [X.], Urteil vom 21. Dezember 2016, [X.] Sverige und [X.] u.a., [X.]/15 u.a., [X.]:C:2016:970, Rn. 100).

[X.])Verpflichtet der [X.]esetzgeber zur Schaffung von Datenbeständen oder öffnet er diese über den primären Zweck hinaus, wie hier die Datenbestände privater Unternehmen für eine Verwendung zur staatlichen Aufgabenwahrnehmung, obliegt es ihm zugleich, die für deren verfassungsrechtliche Rechtfertigung erforderlichen Verwendungszwecke und [X.]n sowie die für die [X.]ewährleistung der Zweckbindung gegebenenfalls erforderlichen Folgeregelungen verbindlich festzulegen ([X.]ebot der Zweckbindung, vgl. [X.] 118, 168 <187>; 120, 378 <408>; 125, 260 <344 f., 355>; vgl. auch [X.], Urteil vom 8. April 2014, [X.] und [X.] u.a., [X.] u.a., [X.]:[X.], Rn. 57 ff.; Urteil vom 6. Oktober 2015, [X.], [X.]/14, [X.]:[X.], Rn. 93). Die grundrechtliche Rechtfertigungslast für eine solche Zweckbestimmung oder -änderung ist dabei schon in der Übermittlungsregelung abzudecken, die zur Schaffung der Datenbestände verpflichtet oder sie zur staatlichen Aufgabenwahrnehmung öffnet. Schon diese - obgleich nur erste Tür - selbst hat die Verwendungszwecke hinreichend zu begrenzen (vgl. [X.] 125, 260 <344 f., 355>), muss also die Datenverwendung an bestimmte Zwecke, tatbestandliche [X.]n und einen hinreichend gewichtigen Rechtsgüterschutz binden, sodass insgesamt die verfassungsrechtlichen Anforderungen gewahrt werden. Dabei steht es dem [X.]esetzgeber der Abrufregelung ‒ als zweiter Tür ‒ frei, den Abruf der Daten an (noch) höhere Anforderungen zu binden. Unzulässig ist es dagegen, unabhängig von solchen Zweckbestimmungen einen Datenvorrat zu schaffen, dessen Nutzung je nach Bedarf und politischem Ermessen der späteren Entscheidung verschiedener staatlicher Instanzen überlassen bleibt (vgl. [X.] 65, 1 <46>; 100, 313 <360>; 125, 260 <345>; 130, 151 <187>; vgl. auch [X.], Urteil vom 6. Oktober 2015, [X.], [X.]/14, [X.]:[X.], Rn. 93 f.).

(1) Dies gilt zunächst für den Fall, dass der [X.]esetzgeber Datenbestände öffnet, für die er selbst die Speicherung von Daten anordnet. Diese Speicherungsanordnung kann nicht abstrakt gerechtfertigt werden, sondern nur insoweit, als sie hinreichend gewichtigen, konkret benannten Zwecken dient (vgl. [X.] 65, 1 <46>; 118, 168 <187 f.>; 125, 260 <327, 345 f.>). Ist der Verwendungszweck nicht festgelegt, fehlt es an der erforderlichen Zweckbindung und es entsteht das Risiko einer Nutzung der Daten für Zwecke, für die sie nicht erhoben wurden (vgl. [X.] 120, 378 <408>). Die Bereitstellung eines solchen seiner Zwecksetzung nach offenen Datenvorrats würde den notwendigen Zusammenhang zwischen Speicherung und Speicherungszweck aufheben (vgl. [X.] 125, 260 <345, 355 f.>). Auch wäre die Tragweite für die Bürgerinnen und Bürger nicht vorhersehbar. [X.] sind insofern unerlässliche Voraussetzung für die [X.]mäßigkeit der [X.]. Dies schließt nicht aus, dass sie ‒ im Rahmen der Kompetenzordnung ‒ gesondert geregelt werden. Die verhältnismäßige Ausgestaltung dieser [X.] entscheidet damit nicht nur darüber, ob diese einen eigenen Eingriff begründenden Regelungen selbst verfassungsgemäß sind, sondern wirkt auf die [X.]mäßigkeit schon der Speicherung als solcher zurück (vgl. [X.] 125, 260 <327 f.>).

(2) Das [X.]leiche gilt für die Öffnung privater Datenbestände zur staatlichen Aufgabenwahrnehmung. Der [X.]esetzgeber ist grundsätzlich nicht gehindert, auch den Zugriff auf Daten zu erlauben, die Diensteanbieter zur Durchführung ihrer Verträge speichern. In einem dynamischen Sektor wie der Telekommunikation können auch andere als die aufgrund staatlicher Anordnung zu speichernden Daten für die staatliche Aufgabenwahrnehmung von Bedeutung sein und deshalb zugänglich gemacht werden (vgl. [X.] 130, 151 <206 f.>). Werden aber Datenbestände zu Zwecken geöffnet, die vom Zweck der ursprünglichen Datenerhebung abweichen, kommt dem [X.]ebot der Zweckbindung für die Bestimmung der Anforderungen, die an eine auf solche Daten zugreifende Befugnisnorm zu stellen sind, herausgehobene Bedeutung zu. Sieht der [X.]esetzgeber eine den ursprünglichen Speicherungszweck ändernde Verwendung von Daten vor, muss er daher den - neuen - Verwendungszweck möglichst präzise festlegen (vgl. [X.] 100, 313 <360>; 120, 351 <366 f.>).

(3) Ermächtigt eine gesetzliche Regelung zu einem Eingriff in das Recht auf [X.]e Selbstbestimmung oder das Telekommunikationsgeheimnis, so hat das [X.]ebot der Bestimmtheit und Klarheit auch die spezifische Funktion, eine hinreichend präzise Umgrenzung des Verwendungszwecks der betroffenen Informationen sicherzustellen (vgl. [X.] 118, 168 <187>; 125, 260 <345>). Auf diese Weise wird das verfassungsrechtliche [X.]ebot der Zweckbindung der erhobenen Information verstärkt (vgl. [X.] 130, 151 <202> m.w.N.). Anlass, Zweck und Umfang des jeweiligen Eingriffs sind daher durch den [X.]esetzgeber bereichsspezifisch, präzise und normenklar festzulegen (vgl. [X.] 65, 1 <44 ff.>; 100, 313 <359 f.>; 125, 260 <328>; 130, 151 <202>; stRspr). Im Einzelnen unterscheiden sich hierbei die Anforderungen maßgeblich nach dem [X.]ewicht des Eingriffs und sind insoweit mit den jeweiligen materiellen Anforderungen der Verhältnismäßigkeit eng verbunden ([X.] 141, 220 <265 Rn. 94> mit Verweis auf [X.] 110, 33 <55>).

(4) Die derart qualifizierten Voraussetzungen für eine Verwendung der Daten zum Zwecke der Strafverfolgung, der [X.]efahrenabwehr oder der Aufgabenerfüllung der Nachrichtendienste sind bereits vom [X.] als [X.]esetzgeber der Übermittlungsregelung festzulegen (vgl. [X.] 125, 260 <346>). Deren Konkretisierung darf er nicht späterer [X.]esetzgebung - insbesondere der Länder - überlassen (vgl. [X.] 125, 260 <355 f.>). Er muss seiner Regelungsverantwortung bereits in der Übermittlungsregelung vollständig gerecht werden und diese für sich genommen verhältnismäßig ausgestalten. Das gilt aus [X.]ründen der Normenklarheit nicht nur dann, wenn er Datenbestände in Materien öffnet, in denen die Regelung des Abrufs den Ländern vorbehalten ist, sondern auch dann, wenn ihm selbst die [X.]esetzgebungskompetenz für die [X.] zukommt. Dies schließt nicht aus, dass er Übermittlung und Abruf von Daten für die in seinem Kompetenzbereich liegenden Materien auch in einer Norm zusammenfassen kann (vgl. [X.] 130, 151 <184, 203>). Eine Begrenzung der Verwendungszwecke erst in der Abrufregelung kommt allerdings nur in Betracht, wenn die [X.] Materien betrifft, die allein im Kompetenzbereich des [X.] liegen, und wenn die getroffenen [X.] und [X.] ‒ nach Maßgabe der Anforderungen der Normenklarheit ‒ eine in ihrem Zusammenwirken abschließende Zweckbestimmung der Datenverwendung treffen (vgl. dazu [X.] 125, 260 <351 f.>).

[X.]) [X.]rechtlich geboten ist schließlich die [X.]ewährleistung der Datensicherheit. Hierzu gehören, soweit es die hier angegriffenen Übermittlungsregelungen betrifft, Regelungen zur Sicherheit der Übermittlung der Daten.

b) Diesen Anforderungen genügt die in § 113 Abs. 1 Satz 1 [X.] geregelte Befugnis zur allgemeinen Bestandsdatenauskunft nicht. Ihre Reichweite ist mangels begrenzender [X.]n unverhältnismäßig.

aa) Als [X.] für die nach §§ 95 und 111 [X.] erhobenen Daten berechtigt § 113 Abs. 1 Satz 1 [X.] die Diensteanbieter zu deren Übermittlung. Die Regelung ist nunmehr normenklar als bloße Öffnungsklausel ausgestaltet (vgl. [X.] 130, 151 <202>), die die Diensteanbieter erst dann zur Datenübermittlung verpflichtet, wenn ein eigens begründetes, auf eine fachrechtliche Abrufregelung gestütztes Verlangen einer in § 113 Abs. 3 [X.] genannten Stelle vorliegt. Vorausgesetzt werden insoweit gesetzliche Regelungen, die einen Abruf der konkret nach §§ 95 und 111 [X.] erhobenen Daten erlauben (vgl. § 113 Abs. 2 Satz 1 [X.]). Der [X.]esetzgeber hat damit hinreichend klargestellt, dass es zur Datenabfrage einer entsprechend qualifizierten Rechtsgrundlage bedarf (vgl. BTDrucks 17/12034, [X.]), die über eine schlichte Datenerhebungsbefugnis hinausgeht und die dafür in Frage kommenden Behörden in § 113 Abs. 3 [X.] auch eindeutig und abschließend bestimmt (vgl. auch [X.] 130, 151 <202>).

[X.]) Die in § 113 Abs. 1 Satz 1 [X.] eröffnete allgemeine Bestandsdatenauskunft begründet einen Eingriff in das Recht auf [X.]e Selbstbestimmung von gewissem, wenn auch nicht sehr großem [X.]ewicht.

(1) Ein nicht unerhebliches Eingriffsgewicht erhält die Regelung allerdings dadurch, dass für die Auskunft auf die nach § 111 [X.] annähernd flächendeckend vorrätig gehaltenen Daten zugegriffen und damit praktisch jede Telekommunikationsnummer und jeder [X.]inhaber ermittelt und beauskunftet werden kann. [X.]egenstand der Auskunft können auch individualisierende Angaben wie zum Beispiel das [X.]eburtsdatum oder die Anschrift (vgl. [X.] 130, 151 <188>) sowie die nach § 95 [X.] erhobenen Daten sein, zu denen je nach Vertragsgestaltung zum Beispiel auch die Bankverbindung, der Beruf oder die Namen von Angehörigen oder Partnern eines [X.] gehören können (vgl. [X.] 130, 151 <206 f.>). Das Eingriffsgewicht wird zudem durch die Heimlichkeit der Auskunftserteilung erhöht.

(2) [X.]leichwohl ist der durch § 113 Abs. 1 Satz 1 [X.] begründete Eingriff nicht von sehr großem [X.]ewicht (vgl. auch [X.], Urteil vom 2. Oktober 2018, Ministerio Fiscal, [X.]/16, [X.]:C:2018:788, Rn. 61). Die Auskunft beschränkt sich auf inhaltlich eng begrenzte Daten, die weder höchstpersönliche Informationen erfassen noch die Erstellung von Persönlichkeits- oder Bewegungsprofilen ermöglichen (vgl. [X.] 130, 151 <189 f.>; vgl. auch [X.]MR, [X.], Urteil vom 30. Januar 2020, Nr. 50001/12, § 92 (nicht endgültig)). Auch wenn sich im Rahmen konkreter Erhebungszusammenhänge daraus sensible Informationen ergeben können, bleibt der Informationsgehalt der Auskünfte als solcher doch begrenzt und hängt im Übrigen von weiteren Ermittlungen ab, deren Rechtmäßigkeit nach anderen Vorschriften zu beurteilen ist ([X.] 130, 151 <197>). Umstände und Inhalte der Telekommunikation werden nicht mitgeteilt; soweit [X.]inhaber abgefragt werden, sind die Umstände oder Inhalte den Behörden bereits bekannt. [X.] wirkt zudem, dass jedenfalls die nach § 95 [X.] erhobenen Daten nicht verpflichtend gespeichert werden müssen und der Umfang möglicher Auskünfte davon abhängt, ob und inwieweit der jeweilige Diensteanbieter überhaupt einen über § 111 [X.] hinausgehenden Datenbestand angelegt hat. Allerdings wird die Preisgabe dieser Daten zur Erlangung wesentlicher Telekommunikationsdienste praktisch regelmäßig unvermeidbar sein.

(a) Das Eingriffsgewicht wird derzeit auch nicht durch die individualisierende Zuordnung einer statischen IP-Adresse erhöht, sofern diese ‒ anders als dynamische IP-Adressen - je nach Auslegung des Begriffs der "[X.]kennung" in § 111 Abs. 1 Nr. 1 [X.] möglicherweise verpflichtend (ablehnend: [X.], in: [X.]/[X.]/Scherer/[X.], [X.], 2. Aufl. 2015, § 111 Rn. 11; Hey/[X.]/[X.], [X.], [X.]55 <456>; [X.], [X.], S. 361 <362 [X.]. 14>) oder aber nach § 95 [X.] freiwillig gespeichert werden. Zwar ermöglicht die Zuordnung einer IP-Adresse zu einem [X.]inhaber die Erschließung von nach Umfang und Inhalt wesentlich weitreichenderen Informationen als die Identifizierung einer Telefonnummer, da die Auskunft über den [X.]inhaber einer IP-Adresse zugleich die Information über den Inhalt des Kontakts enthält, der elektronisch fixiert ist und auch länger wieder abrufbar sein kann (vgl. [X.] 125, 260 <342>; 130, 151 <198 f.>). Auch kann gegebenenfalls umgekehrt die statische IP-Adresse eines namentlich bekannten [X.] abgefragt werden. Nach Angaben der [X.]regierung werden aber nach derzeitigem Stand der Technik und Praxis privaten Nutzerinnen und Nutzern als Einzelkunden in der Regel keine statischen IP-Adressen zugewiesen. Vielmehr erfolgt die Zuweisung von IP-Adressen auch während der laufenden Einführung des [X.]protokolls Version 6, das über einen im Vergleich zur Vorgängerversion deutlich größeren Adressraum verfügt und deshalb die Zuweisung fester IP-Adressen an alle Nutzerinnen und Nutzer grundsätzlich zuließe, weiterhin ganz überwiegend dynamisch. Die Zuweisung von statischen IP-Adressen, deren Zuordnung zurzeit ohnehin über außereuropäische Plattformen öffentlich zugänglich ist, beschränkt sich nach wie vor im Wesentlichen auf Institutionen und [X.]roßnutzer (vgl. dazu [X.] 130, 151 <198>).

(b) Das Eingriffsgewicht wird dagegen dadurch begrenzt, dass Auskünfte nur dann erteilt werden dürfen, wenn eine in § 113 Abs. 3 [X.] genannte Stelle dies in Textform im Einzelfall zu ihrer Aufgabenwahrnehmung verlangt (vgl. § 113 Abs. 2 Satz 1 [X.]). Die Übermittlungsregelung ermächtigt damit ausdrücklich nur zu einer aufgabenbezogenen Auskunft im Einzelfall. Entgegen der Ansicht der [X.]n bleibt der Einzelfallbezug auch erhalten, wenn geschäftsmäßige Diensteanbieter mit mehr als 100.000 Kunden gemäß § 113 Abs. 5 Satz 2 [X.] für die Entgegennahme eines Auskunftsersuchens sowie für die Erteilung der zugehörigen Auskünfte eine gesicherte elektronische Schnittstelle bereithalten. In § 113 Abs. 5 [X.] wird allein das erforderliche technische Umfeld für die Entgegennahme des Auskunftsverlangens und die Erteilung der Auskunft geregelt. Die inhaltlichen und formalen Voraussetzungen für eine Auskunftserteilung werden durch die Verpflichtung, eine gesicherte elektronische Schnittstelle bereitzuhalten, nicht modifiziert. Auch bei Nutzung der Schnittstelle muss das Auskunftsverlangen gegenüber den Diensteanbietern vielmehr einzelfallbezogen geäußert werden. Dies verdeutlicht § 113 Abs. 5 Satz 3 [X.], wonach auch bei Entgegennahme eines Auskunftsverlangens über eine elektronische Schnittstelle dafür Sorge zu tragen ist, dass jedes Verlangen durch eine verantwortliche Fachkraft auf Einhaltung der in § 113 Abs. 2 [X.] genannten formalen Voraussetzungen geprüft und die weitere Bearbeitung des Verlangens erst nach einem positiven Prüfergebnis freigegeben wird. Damit soll sichergestellt werden, dass gerade keine automatisierte Datenabfrage stattfindet, sondern jede Anfrage auch providerseitig geprüft wird; eine automatisierte Prüfung ist dementsprechend nicht zulässig (vgl. BTDrucks 17/12034, [X.]). Die Ermöglichung oder Erleichterung von Massenabfragen ist in der Norm auch nicht angelegt. Die Einrichtung einer gesicherten elektronischen Schnittstelle dient vielmehr vorrangig dazu, die Datensicherheit zu erhöhen (vgl. BTDrucks 17/12034, [X.]).

(c) Das manuelle Auskunftsverfahren bringt für die abfragende Behörde zudem einen gewissen [X.] mit sich, der dazu beitragen dürfte, dass die Behörde die Auskunft nur bei hinreichendem Bedarf einholt oder den benötigten Auskünften eine gewisse Bedeutung zukommt (vgl. zur Vorgängerregelung [X.] 130, 151 <206>). Dieser wird - wie ausgeführt - auch bei Nutzung einer elektronischen Schnittstelle nicht verringert.

[X.]) Trotz ihres gemäßigten [X.] erweist sich die [X.] aufgrund ihrer Reichweite, die durch keine [X.]n begrenzt ist, als unverhältnismäßig.

(1) Auch unter Berücksichtigung des nicht sehr großen [X.] der in § 113 Abs. 1 Satz 1 [X.] geregelten [X.] und ihrer Bedeutung für die staatliche Aufgabenwahrnehmung im Bereich der [X.]efahrenabwehr, der Strafverfolgung und der Nachrichtendienste bedarf es begrenzender, spezifischer [X.]n. Auch Auskünfte über Daten, deren Aussagekraft und Verwendungsmöglichkeiten eng begrenzt sind, dürfen nicht ins Blaue hinein zugelassen werden (vgl. [X.] 130, 151 <205>). Dafür genügt es nicht, dass die Auskünfte - wie hier - nur einzelfallbezogen und zweckgebunden erteilt werden dürfen. Vielmehr bedarf es begrenzender [X.]n, die sicherstellen, dass Auskünfte nur bei einem auf tatsächliche Anhaltspunkte gestützten [X.] eingeholt werden können. Unzulässig ist die Schaffung eines offenen Datenvorrats für vielfältige und ohne äußeren [X.] begrenzte Verwendungen im gesamten einer Behörde zugewiesenen Aufgabenbereich (vgl. dazu [X.] 125, 260 <355 f.>).

(a) Erforderlich ist demnach bezogen auf die [X.]efahrenabwehr grundsätzlich eine im Einzelfall vorliegende konkrete [X.]efahr im Sinne der polizeirechtlichen [X.]eneralklauseln. Diese Schwelle umfasst auch den [X.]efahrenverdacht. Ebenso beschränkt sie Auskünfte nicht von vornherein auf Polizeipflichtige im Sinne des allgemeinen Polizei- und Ordnungsrechts. Sie ist damit jedoch nicht so entgrenzt, dass sie angesichts des gemäßigten [X.] unverhältnismäßig wäre. Insbesondere werden damit Auskünfte nicht als allgemeines Mittel der Verwaltung ermöglicht, sondern setzen im Einzelfall einen sicherheitsrechtlich geprägten Charakter der betreffenden Aufgabe voraus (vgl. [X.] 130, 151 <206>). Bezogen auf die Strafverfolgung genügt das Vorliegen eines Anfangsverdachts (vgl. [X.] 130, 151 <206>). Das grundsätzliche Erfordernis einer auf Anhaltspunkte im Tatsächlichen gestützten konkreten [X.]efahr gilt für die Nachrichtendienste ebenso wie für alle zur Abwehr von [X.]efahren für die öffentliche Sicherheit und Ordnung zuständigen Behörden (vgl. [X.] 125, 260 <343 f.>). Sind derart qualifizierte [X.]n vorgesehen, bedarf es im Hinblick auf das gemäßigte Eingriffsgewicht der allgemeinen Bestandsdatenauskunft und ihrer großen Bedeutung für eine effektive Aufgabenwahrnehmung keines spezifisch erhöhten Rechtsgüterschutzes, um die Verhältnismäßigkeit der Datenübermittlung sicherzustellen.

(b) Der [X.]esetzgeber ist von [X.] wegen aber nicht von vornherein für jede Art der Aufgabenwahrnehmung auf die Schaffung von [X.] beschränkt, die dem tradierten sicherheitsrechtlichen Modell der Abwehr konkreter, unmittelbar bevorstehender oder gegenwärtiger [X.]efahren entsprechen. Vielmehr kann er die [X.]renzen unter besonderen Voraussetzungen auch weiter ziehen, indem er die Anforderungen an die Vorhersehbarkeit des [X.] reduziert (vgl. [X.] 141, 220 <272 Rn. 112>). Allerdings muss stets gewährleistet bleiben, dass Annahmen und Schlussfolgerungen einen konkret umrissenen Ausgangspunkt im Tatsächlichen haben ([X.] 113, 348 <386>). Je gewichtiger das gefährdete Rechtsgut ist und je weiterreichend es durch die jeweiligen Handlungen beeinträchtigt würde, desto geringere Anforderungen dürfen an den [X.]rad der Wahrscheinlichkeit gestellt werden, mit der auf eine drohende Verletzung geschlossen werden kann, und desto weniger fundiert dürfen gegebenenfalls die Tatsachen sein, die auf die [X.]efährdung des Rechtsguts schließen lassen (vgl. [X.] 100, 313 <392>; siehe auch [X.] 110, 33 <55, 60>). Umgekehrt steigen bei einem geringen [X.]ewicht des gefährdeten Rechtsguts die Anforderungen an die Prognosesicherheit sowohl hinsichtlich des [X.]rads der [X.]efährdung als auch hinsichtlich ihrer Intensität (vgl. [X.] 113, 348 <386>).

Eingriffsgrundlagen müssen daher regelmäßig zumindest eine hinreichend konkretisierte [X.]efahr verlangen. Eine solche kann schon dann bestehen, wenn sich der zum Schaden führende Kausalverlauf noch nicht mit hinreichender Wahrscheinlichkeit vorhersehen lässt, sofern bereits bestimmte Tatsachen auf eine im Einzelfall drohende [X.]efahr hinweisen. Die Tatsachen müssen dafür zum einen den Schluss auf ein wenigstens seiner Art nach konkretisiertes und zeitlich absehbares [X.]eschehen zulassen, zum anderen darauf, dass bestimmte Personen beteiligt sein werden, über deren Identität zumindest so viel bekannt ist, dass die Überwachungsmaßnahme gezielt gegen sie eingesetzt und weitgehend auf sie beschränkt werden kann ([X.] 141, 220 <272 Rn. 112> mit Verweis auf [X.] 120, 274 <328 f.> und 125, 260 <330 f.>). Eine solche Absenkung der [X.]n ist aus [X.]ründen der Verhältnismäßigkeit aber untrennbar verbunden mit erhöhten Anforderungen an die konkret geschützten Rechtsgüter (vgl. [X.] 141, 220 <272 Rn. 112>).

Zum Schutz herausgehobener Rechtsgüter, wie etwa zur Verhütung terroristischer Straftaten, können die Anforderungen an die Vorhersehbarkeit des [X.] in dieser Weise auch dann weiter abgesenkt und Eingriffe erlaubt werden, wenn zwar noch kein seiner Art nach konkretisiertes und zeitlich absehbares [X.]eschehen erkennbar ist, jedoch zumindest das individuelle Verhalten einer Person die konkrete Wahrscheinlichkeit begründet, dass sie solche Straftaten in überschaubarer Zukunft begehen wird (vgl. [X.] 141, 220 <272 f. Rn. 112, 291 Rn. 164>). Zu berücksichtigen ist stets auch das Eingriffsgewicht der konkreten Maßnahme. Während der Absenkung von [X.]n bei tief in die Privatsphäre eingreifenden Maßnahmen deutliche [X.]renzen gesetzt sind, bestehen bei weniger gewichtigen Eingriffen auch weiterreichende [X.]estaltungsmöglichkeiten (vgl. [X.] 141, 220 <269 Rn. 104>).

Weniger gewichtige Eingriffe - wie sie die allgemeine Bestandsdatenauskunft begründet - können daher beim Vorliegen einer konkretisierten [X.]efahr bereits dann zu rechtfertigen sein, wenn sie dem Schutz von Rechtsgütern von zumindest erheblichem [X.]ewicht dienen (vgl. dazu [X.] 150, 244 <284 Rn. 99>; 150, 309 <336 Rn. 73>), wie dies etwa bei der Verhütung von Straftaten von zumindest erheblicher Bedeutung (vgl. dazu [X.] 141, 220 <270 Rn. 107> m.w.N.) der Fall ist. Hochrangige, überragend wichtige oder auch besonders gewichtige Rechtsgüter (vgl. [X.] 115, 320 <346>; 120, 274 <328>; 141, 220 <270 Rn. 108>) sind demgegenüber nur dann erforderlich, wenn die [X.] noch weiter hinter einer konkretisierten [X.]efahr zurückbleiben sollte oder es sich etwa um tief in die Privatsphäre eingreifende Befugnisse handelte.

(c) Diese verfassungsrechtlichen Anforderungen gelten grundsätzlich für alle Eingriffsermächtigungen mit präventiver Zielrichtung. Sie gelten damit auch für die Verwendung der Daten durch Nachrichtendienste (vgl. [X.] 125, 260 <331>). Auch für ihre Tätigkeiten genügen damit Eingriffsgrundlagen, die eine hinreichend konkretisierte [X.]efahr (oben Rn. 148 f.) verlangen, den verfassungsrechtlichen Anforderungen. Zwar sind auch insoweit stets tatsächliche Anhaltspunkte erforderlich (vgl. [X.] 120, 274 <330>). Bei - wie vorliegend - nicht tief in die Privatsphäre eingreifenden und insgesamt weniger gewichtigen Eingriffen kann es jedoch genügen, dass eine Auskunft zur Aufklärung einer bestimmten, nachrichtendienstlich beobachtungsbedürftigen Aktion oder [X.]ruppierung im Einzelfall geboten ist (vgl. dazu [X.] 130, 151 <206>), denn damit wird ein wenigstens der Art nach konkretisiertes und absehbares [X.]eschehen vorausgesetzt. Im Hinblick darauf, dass der Aufgabenbereich der Nachrichtendienste von vornherein dadurch gekennzeichnet ist, dass er dem Schutz besonders gewichtiger Rechtsgüter dient (vgl. [X.] 141, 220 <339 Rn. 320>; vgl. auch [X.] 133, 277 <326 Rn. 118>), bedarf es keiner weitergehenden Anforderungen an den Rechtsgüterschutz.

(d) Demgegenüber kann im Bereich der Strafverfolgung eine in tatsächlicher Hinsicht unterhalb des Anfangsverdachts liegende [X.] zur Vornahme von grundrechtsrelevanten Eingriffen nicht genügen. Zwar können für Maßnahmen mit präventiver Zielsetzung die [X.]renzen für bestimmte Bereiche auch weiter gezogen werden, indem die Anforderungen an die Vorhersehbarkeit des [X.] reduziert werden (oben Rn. 147). Voraussetzung ist aber stets eine tatsachenbezogene [X.]rundlage. Auch die im [X.]efahrenabwehrrecht anerkannten [X.]n der "konkretisierten [X.]efahr" und der "drohenden [X.]efahr", die in zeitlicher Hinsicht ins Vorfeld verlagert sind, setzen tatsächliche Anhaltspunkte für die Entstehung einer konkreten [X.]efahr voraus (vgl. [X.] 141, 220 <272 Rn. 112>). Nichts Anderes gilt für Maßnahmen der Strafverfolgung. Auch im [X.] kommen sie nur bei Vorliegen tatsächlicher Anhaltspunkte in Betracht (vgl. [X.] 113, 348 <386>; 117, 244 <263>). Vage Anhaltspunkte oder Vermutungen reichen demgegenüber nicht aus (vgl. [X.] 115, 166 <197 f.>; 124, 43 <66 f.>).

Danach reicht eine in tatsächlicher Hinsicht unterhalb des Anfangsverdachts angesiedelte [X.] im Bereich der Strafverfolgung nicht aus. Die Annahme eines Anfangsverdachts setzt lediglich das Vorliegen zureichender tatsächlicher Anhaltspunkte für eine Straftat voraus (vgl. [X.], Beschluss vom 12. Januar 2005 - 5 [X.] -, Rn. 7). Solche tatsächlichen Anhaltspunkte liegen hinsichtlich ihrer Aussagekraft noch unter den für manche Ermittlungsmaßnahmen geforderten "bestimmten Tatsachen", weshalb der Anfangsverdacht bereits die Verdachtsstufe mit den geringsten in der Strafprozessordnung vorgesehenen tatsächlichen Voraussetzungen ist (vgl. [X.] 109, 279 <350>; 129, 208 <268>). Würden die Voraussetzungen noch weiter zurückgenommen, wären nur noch vage Anhaltspunkte gefordert.

(2) Diesen verfassungsrechtlichen Anforderungen genügt § 113 Abs. 1 Satz 1 [X.] nicht. Die Übermittlungsregelung öffnet das manuelle Auskunftsverfahren sehr weit, indem sie Auskünfte allgemein zum Zweck der [X.]efahrenabwehr, zur Verfolgung von Straftaten oder Ordnungswidrigkeiten sowie zur Erfüllung nachrichtendienstlicher Aufgaben erlaubt (§ 113 Abs. 2 Satz 1 [X.]) und dabei keine ihre Reichweite näher begrenzenden [X.]n (vgl. [X.] 130, 151 <205>) enthält. Die Regelung ermöglicht die Erteilung einer Auskunft im Einzelfall vielmehr bereits dann, wenn dies zur Wahrnehmung der Aufgaben erfolgt.

(a) Trotz des für sich gesehen begrenzten Informationsgehalts der betreffenden Daten, ihrer engen Verwendungsmöglichkeiten sowie ihrer großen Bedeutung für eine effektive Aufgabenwahrnehmung der abfrageberechtigten Behörden sind die Verwendungszwecke nicht hinreichend begrenzt. Zwar handelt es sich bei den gesetzlich bestimmten Verwendungszwecken um zentrale Aufgaben der [X.]ewährleistung von Sicherheit. In Anbetracht der zunehmenden Bedeutung der elektronischen Kommunikationsmittel und des heutigen Kommunikationsverhaltens der Menschen in allen Lebensbereichen sind die Behörden darauf angewiesen, insbesondere auch Telekommunikationsnummern individuell zuordnen zu können. Doch auch unter Berücksichtigung ihres nur gemäßigten [X.] ist die hier angegriffene Regelung zu weit gefasst, da Auskünfte bereits dann erteilt werden können, wenn sie in irgendeinem Zusammenhang zu der staatlichen Aufgabenwahrnehmung stehen und einen Einzelfallbezug erkennen lassen, ohne dass ein auf tatsächliche Anhaltspunkte gestützter [X.] vorausgesetzt wird. Eröffnet sind damit vielfältige und in jeder Hinsicht unbegrenzte Verwendungen.

(b) Die erforderlichen [X.]n können § 113 [X.] auch nicht ‒ wie noch der Vorgängerregelung ‒ im Wege der Auslegung entnommen werden.

Zwar enthielt der im Wesentlichen gleichlautende § 113 [X.] a.F. ebenfalls keine begrenzenden [X.]n. Diese konnten jedoch durch das [X.]verfassungsgericht im Wege der Auslegung ermittelt werden. Dabei stützte es sich maßgeblich auf die begrenzende Wirkung der tatbestandlichen Voraussetzungen, nach denen Auskünfte nur im Einzelfall angefordert werden durften und zur Aufgabenwahrnehmung erforderlich sein mussten. Davon ausgehend legte das [X.]verfassungsgericht die Regelung bezogen auf die [X.]efahrenabwehr dahin aus, dass eine Auskunft eine "konkrete [X.]efahr" voraussetze und dass im Aufgabenbereich der Nachrichtendienste die Auskunft zumindest zur Aufklärung einer bestimmten, nachrichtendienstlich beobachtungsbedürftigen Aktion oder [X.]ruppierung im Einzelfall geboten sein müsse. Auch soweit sich Auskünfte auf die Verfolgung von Straftaten und Ordnungswidrigkeiten bezogen, leitete es aus dem Erfordernis der Erforderlichkeit im Einzelfall ab, dass zumindest ein Anfangsverdacht vorliegen müsse (vgl. [X.] 130, 151 <205 f.>).

Die hier angegriffene Übermittlungsregelung kann nicht erneut in diesem Sinne verständig ausgelegt werden. Dem stehen sowohl ihr Wortlaut als auch der klar erkennbare gesetzgeberische Wille entgegen. Anders als die Vorgängerregelung setzt § 113 Abs. 2 Satz 1 [X.], der die näheren Voraussetzungen der durch § 113 Abs. 1 Satz 1 [X.] erlaubten Übermittlung regelt, schon nicht voraus, dass die zu erteilenden Auskünfte zur Aufgabenwahrnehmung der abfrageberechtigten Stellen "erforderlich" sein müssen. [X.]enau darauf aber hat das [X.]verfassungsgericht in seiner Entscheidung zur Vorgängerregelung neben der Einzelfallbezogenheit maßgeblich abgestellt. [X.]erade aus dem Erfordernis der Erforderlichkeit im Einzelfall hat es abgeleitet, dass dem § 113 [X.] a.F. ‒ wenngleich niedrige ‒ [X.]n zu entnehmen waren. Wenn der [X.]esetzgeber vor diesem Hintergrund nunmehr wiederum nur die Verwendungszwecke als solche regelt, keine begrenzenden [X.]n bestimmt und dabei gleichzeitig auf das Merkmal der Erforderlichkeit der Auskunftserteilung für die Aufgabenwahrnehmung verzichtet, kann das [X.]verfassungsgericht darüber im Rahmen einer neuerlichen Auslegung nicht hinweggehen. Dies entspräche auch nicht dem gesetzgeberischen Willen. So sah der von der [X.]regierung eingebrachte [X.]esetzentwurf zunächst gar keine aufgabenbezogene Begrenzung der Auskunftserteilung vor (vgl. BTDrucks 17/12034, [X.]), da - so die [X.]egenerklärung auf Einwände des [X.]rats (vgl. [X.] 664/12 [Beschluss], [X.] f.; BTDrucks 17/12034, [X.]7) - aus der neuen, seitens des [X.]verfassungsgerichts vorgegebenen dualen [X.]esetzessystematik folge, dass die erforderliche aufgabenbezogene Begrenzung der Auskunftserteilung nicht mehr in § 113 [X.] geregelt werden könne. Sie betreffe nicht die [X.] der Diensteanbieter, sondern die Erhebungsbefugnis der Behörden. Die Voraussetzungen der Auskunftserteilung seien deshalb - wie der Entwurf ausgehend von einem Missverständnis der verfassungsgerichtlichen Rechtsprechung (vgl. [X.] 125, 260 <344 f., 355>; 130, 151 <184 f.; 202 f., 207 ff.>) ausführt - ausschließlich im jeweiligen Fachrecht zu verankern (vgl. BTDrucks 17/12034, [X.]). Der [X.]esetzgeber ist dem zwar letztlich nicht vollständig gefolgt und hat zumindest eine Beschränkung der Auskunft auf den Einzelfall eingefügt und die Verwendungszwecke der Auskunftserteilung bestimmt, womit er die materiellen [X.]renzen der jeweils bereichsspezifisch zu schaffenden Befugnisregelungen klarstellen wollte (vgl. BTDrucks 17/12879, [X.]). Weitergehende Begrenzungen wollte er aber ersichtlich nicht setzen. Dies lassen auch die gleichzeitig geschaffenen fachrechtlichen [X.] erkennen, die weitgehend keine begrenzenden [X.]n enthalten und insbesondere nicht das Vorliegen einer konkreten [X.]efahr voraussetzen (dazu im [X.] Rn. 206 ff.).

c) § 113 Abs. 1 Satz 2 [X.], der zur Übermittlung von Zugangsdaten berechtigt, ist mit Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.] unvereinbar.

aa) § 113 Abs. 1 Satz 2 [X.] erlaubt die Erteilung einer Auskunft von Daten, die als Zugangsdaten den Zugriff auf Endgeräte oder externe Speichereinrichtungen sichern. Die Vorschrift berechtigt zur Auskunftserteilung über diese Daten unabhängig von den Voraussetzungen für ihre Nutzung und entspricht inhaltlich insoweit ‒ trotz geänderten Wortlauts ‒ § 113 Abs. 1 Satz 2 [X.] in der Fassung des [X.] vom 22. Juni 2004, den das [X.]verfassungsgericht mit Beschluss vom 24. Januar 2012 für unvereinbar mit Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.] erklärt hat (vgl. [X.] 130, 151 <152>). Zur Begründung führte es aus, die Regelung sei unverhältnismäßig, weil Behörden ohne ersichtlichen [X.]rund Zugangsdaten auch unabhängig von den Anforderungen an deren Nutzung und damit gegebenenfalls unter leichteren Voraussetzungen abfragen könnten. Die Erhebung der Zugangsdaten sei mit Blick auf die verfolgten Zwecke nur dann erforderlich, wenn auch die Voraussetzungen für deren Nutzung gegeben seien (vgl. [X.] 130, 151 <209>).

Die Erklärung der [X.]widrigkeit einer Norm hindert den [X.]esetzgeber zwar nicht daran, eine inhaltlich gleichlautende Bestimmung wiederum zu erlassen (vgl. [X.] 77, 84 <103 f.>). Dabei kann er aber die vom [X.]verfassungsgericht festgestellten [X.]ründe der [X.]widrigkeit des ursprünglichen [X.]esetzes nicht übergehen. Eine Normwiederholung verlangt vielmehr ihrerseits besondere [X.]ründe, die sich vor allem aus einer wesentlichen Änderung der für die verfassungsrechtliche Beurteilung maßgeblichen tatsächlichen oder rechtlichen Verhältnisse oder der ihr zugrundeliegenden Anschauungen ergeben können. Fehlen solche [X.]ründe, ist das [X.]verfassungsgericht nicht gehalten, die bereits entschiedenen verfassungsrechtlichen Fragen erneut zu erörtern ([X.] 96, 260 <263>).

[X.]) Solche [X.]ründe sind hier nicht ersichtlich. Dass die Neuregelung in § 113 Abs. 1 Satz 2 [X.] die aus [X.]ründen der Verhältnismäßigkeit erforderliche Beschränkung nicht enthält, beruht darauf, dass der [X.]esetzgeber davon ausgegangen ist, es genüge, diese in den neu geschaffenen [X.] des bundesrechtlichen [X.] vorzusehen, um den Vorgaben des [X.]verfassungsgerichts zu entsprechen (vgl. BTDrucks 17/12034, [X.], 20). Dem liegt indes ein unzutreffendes Verständnis der grundrechtlichen Regelungsverantwortung des [X.] für die Öffnung der Datenbestände zugrunde. Schon die [X.] für die staatliche Aufgabenwahrnehmung hat den Anforderungen an eine normenklare Begrenzung der späteren Datenverwendung Rechnung zu tragen (vgl. [X.] 125, 260 <344 f., 355>; oben Rn. 130). Insofern hat das [X.]verfassungsgericht die Vorgängerregelung ‒ ungeachtet von [X.] und Ländern zu schaffender [X.] ‒ wegen der nicht hinreichenden Verwendungsbegrenzung für verfassungswidrig erklärt (vgl. [X.] 130, 151 <207 ff.>). Defizite der ersten Tür können nicht durch eine - wie hier erfolgte - "Verstärkung" der zweiten Tür kompensiert werden (vgl. [X.], in: [X.]/Denninger, Handbuch des Polizeirechts, 6. Aufl. 2018, Abschnitt [X.] Rn. 177).

d) Die in § 113 Abs. 1 Satz 3 [X.] neu geschaffene Befugnis, auch anhand einer dynamischen IP-Adresse bestimmte Bestandsdaten zu übermitteln, genügt nicht den Anforderungen der Verhältnismäßigkeit und verstößt damit gegen Art. 10 Abs. 1 [X.].

aa) § 113 Abs. 1 Satz 3 [X.] regelt mit der erforderlichen Normenklarheit, dass auch über solche Bestandsdaten Auskunft erteilt werden darf, die anhand einer dynamischen IP-Adresse bestimmt werden. Die Regelung stellt ebenfalls klar, dass zur Vorbereitung solcher Auskünfte Verkehrsdaten ausgewertet werden dürfen. Der [X.]esetzgeber trifft damit zugleich eine eigene [X.] für die nach § 96 [X.] zu betrieblichen Zwecken erhobenen Verkehrsdaten (vgl. BTDrucks 17/12034, [X.]), die er zweckgebunden für die Vorbereitung der Auskunft nach § 113 Abs. 1 Satz 3 [X.] und damit für die staatliche Aufgabenwahrnehmung öffnet (oben Rn. 132). Obgleich zum [X.]punkt der Neuregelung des § 113 Abs. 1 Satz 3 [X.] im [X.] Verkehrsdaten von den Diensteanbietern lediglich auf [X.]rundlage des § 96 [X.] erhoben wurden, werden durch die nicht weiter eingeschränkte, allgemein formulierte Berechtigung, Verkehrsdaten auszuwerten, jedenfalls vom Wortlaut der Norm tatsächlich auch die seit dem 1. Juli 2017 gemäß §§ 113a, 113b [X.] von [X.] öffentlich zugänglicher Telekommunikationsdienste verpflichtend zu speichernden Verkehrsdaten (siehe allerdings zur derzeitigen Handhabung der Speicherungspflicht oben Rn. 12) erfasst. Da die Verwendung dieser Daten zur Erteilung einer Auskunft nach § 113 Abs. 1 Satz 3 [X.] durch § 113c Abs. 1 Nr. 3 [X.] aber ausdrücklich angeordnet wird, bestehen im Zusammenwirken beider Normen im Hinblick auf die gebotene Normenklarheit des § 113 Abs. 1 Satz 3 [X.] keine Bedenken.

[X.]) § 113 Abs. 1 Satz 3 [X.] hat ein gegenüber der allgemeinen Bestandsdatenauskunft erhöhtes Eingriffsgewicht. Er begründet einen Eingriff in Art. 10 Abs. 1 [X.] und hat im Hinblick auf die Aussagekraft und Verwendungsmöglichkeiten sowohl der zu beauskunftenden Bestandsdaten als auch der zu deren Bestimmung von den Diensteanbietern auszuwertenden Verkehrsdaten eine erheblich größere Persönlichkeitsrelevanz.

(1) Die Begründung behördlicher Auskunftsansprüche zur Identifizierung dynamischer IP-Adressen hat aufgrund der Aussagekraft und der Verwendungsmöglichkeiten der zu beauskunftenden Bestandsdaten ein erhebliches [X.]ewicht. Der [X.]esetzgeber wirkt damit auf die [X.] im [X.] ein und begrenzt den Umfang ihrer Anonymität. Auf [X.]rundlage der Zuordnung dynamischer IP-Adressen kann in Verbindung mit der anlasslosen und systematischen Speicherung von [X.]zugangsdaten nach § 113b Abs. 3 [X.] in weitem Umfang die Identität derjenigen ermittelt werden, die das [X.] nutzen (vgl. [X.] 125, 260 <341 f.>). Diese gesetzliche Konzeption wird durch die gegenwärtig ausgesetzte Durchsetzung der Verpflichtung zur Speicherung dieser Daten (vgl. dazu oben Rn. 12) dem [X.]runde nach nicht berührt.

Zwar hat die Zuordnung einer dynamischen IP-Adresse eine gewisse Ähnlichkeit mit der Identifizierung einer Telefonnummer. Die Abfrage des Inhabers einer Telefonnummer erbringt jedoch nicht ohne weiteres auch Informationen zu konkreten Telekommunikationsakten. Demgegenüber enthält eine Auskunft über den [X.]inhaber einer dynamischen IP-Adresse in sich notwendig zugleich die Information, dass und von welchem [X.] aus diese IP-Adresse zu einer bestimmten [X.] genutzt wurde. Da der Inhalt von [X.]seiten elektronisch fixiert und länger wieder abrufbar ist, gibt die Individualisierung der IP-Adresse zugleich Auskunft über den Inhalt des Kontakts. Schon vom Umfang, vor allem aber vom Inhalt der Kontakte her, über die sie Auskunft geben kann, hat sie damit eine erheblich größere Persönlichkeitsrelevanz als die Identifizierung einer Telefonnummer und kann mit ihr nicht gleichgesetzt werden (vgl. [X.] 130, 151 <204> mit Verweis auf [X.] 125, 260 <341 ff.>).

(2) Das Eingriffsgewicht erhöhend wirkt sich weiter aus, dass die Diensteanbieter zur Bestimmung der zu beauskunftenden Daten auch Verkehrsdaten auswerten, denen von vornherein eine höhere Persönlichkeitsrelevanz zukommt als reinen Bestandsdaten. Zwar handelt es sich bei Verkehrsdaten nur um Verbindungsdaten, ohne dass dabei auch der Inhalt der Kommunikation erfasst würde. Aus Verkehrsdaten lassen sich aber bei umfassender Erhebung und Auswertung grundsätzlich aussagekräftige Persönlichkeits- und Bewegungsprofile erstellen (vgl. [X.] 125, 260 <319>).

Das [X.]ewicht des Eingriffs wird hier jedoch dadurch abgemildert, dass die um Auskunft ersuchenden Behörden bei der Zuordnung dynamischer IP-Adressen keine Kenntnis der Verkehrsdaten erhalten. Die Behörden rufen diese nicht selbst ab, sondern erhalten lediglich personenbezogene Auskünfte über den Inhaber eines bestimmten [X.]es, der von den Diensteanbietern unter Rückgriff auf die Verkehrsdaten sowie gegebenenfalls weitere Daten (etwa der Source Port Number, vgl. Rn. 42) ermittelt wurde. Die Aussagekraft des beauskunfteten Bestandsdatums bleibt eng begrenzt. Die Verwendung der Verkehrsdaten führt allein zu der Auskunft, welcher [X.]inhaber unter einer den Sicherheitsbehörden bereits bekannten IP-Adresse zu einem bestimmten [X.]punkt im [X.] angemeldet war (vgl. [X.] 125, 260 <341>). Ihr Erkenntniswert bleibt punktuell. Systematische Ausforschungen über einen längeren [X.]raum oder die Erstellung von Persönlichkeits- und Bewegungsprofilen lassen sich allein auf [X.]rundlage solcher Auskünfte gerade nicht verwirklichen (vgl. [X.] 125, 260 <341>).

(a) Dies gilt zunächst für die nach § 96 [X.] erhobenen Verkehrsdaten. Hierbei handelt es sich um solche Verkehrsdaten, die die Diensteanbieter nach Maßgabe ihrer betrieblichen Erfordernisse in begrenztem Umfang und für den Einzelnen durch Vertragsgestaltung teilweise vermeidbar gemäß § 96 [X.] speichern dürfen (vgl. [X.] 125, 260 <352>). Verkehrsdaten, zu denen auch die IP-Adresse selbst gehört, werden danach weder vollständig noch systematisch gespeichert. Die Praxis der Speicherung ist je nach Diensteanbieter, Vertragsgestaltung und in Anspruch genommener Dienstleistung vielmehr sehr unterschiedlich. Ohne konkreten Anlass ist eine Speicherung zur Erkennung, Eingrenzung oder Beseitigung von Störungen oder Fehlern (§ 96 Abs. 1 Satz 2, § 100 Abs. 1 [X.]) nach der fachgerichtlichen Rechtsprechung jedenfalls bis zu sieben Tage nach Ende der [X.]verbindung zulässig (vgl. [X.], Urteil vom 13. Januar 2011 - [X.] -, Rn. 22; Urteil vom 3. Juli 2014 - [X.] -, Rn. 23; vgl. auch Leitfaden des [X.] und der [X.] für eine datenschutzgerechte Speicherung von Verkehrsdaten, Stand 19. Dezember 2012, [X.] f.), wovon die Diensteanbieter in unterschiedlichem Umfang, teilweise aber auch gar nicht [X.]ebrauch machen. Durch vertragliche [X.]estaltung teilweise abdingbar und durch die Nutzerinnen und Nutzer beeinflussbar ist zudem, wie oft eine [X.]verbindung unterbrochen wird, und damit das für den Beginn der Speicherfrist relevante Ende der Verbindung.

(b) Für die Zuordnung einer dynamischen IP-Adresse können allerdings nicht nur die nach § 96 [X.] erhobenen Verkehrsdaten ausgewertet werden, sondern grundsätzlich auch die von öffentlich zugänglichen [X.] für zehn Wochen (§ 113b Abs. 1 Nr. 1 [X.]) anlasslos und systematisch gespeicherten Verkehrsdaten (vgl. [X.] 125, 260 <328, 352>; siehe aber zur derzeitigen Handhabung der Speicherungspflicht oben Rn. 12). Damit geht grundsätzlich eine deutliche Erhöhung des [X.] einher. Neben dem Umstand, dass diese Daten selbst nicht [X.]egenstand der Auskunft sind, ist freilich zu berücksichtigen, dass für die Zuordnung einer IP-Adresse nur ein von vornherein feststehender kleiner Ausschnitt der Daten verwendet wird, deren Speicherung für sich genommen unter deutlich geringeren Voraussetzungen angeordnet werden könnte. Eine Speicherung allein der für solche Auskünfte erforderlichen [X.]zugangsdaten zur Identifizierung dynamischer IP-Adressen hätte ein deutlich geringeres [X.]ewicht als die nahezu vollständige Speicherung der Daten sämtlicher Telekommunikationsverbindungen (vgl. [X.] 125, 260 <341>). Die ansonsten für die Verwendung vorsorglich gespeicherter Verkehrsdaten maßgeblichen, besonders strengen Anforderungen gelten daher für solche Auskünfte nicht gleichermaßen (vgl. [X.] 125, 260 <340>).

(c) Soweit gemäß § 113 Abs. 1 Satz 4 [X.] für die Auskunftserteilung anhand dynamischer IP-Adressen darüber hinaus sämtliche unternehmensinternen Datenquellen zu berücksichtigen sind, kommt dem keine weitere eingriffserhöhende Wirkung zu. Die Regelung bringt zum Ausdruck, dass es die Diensteanbieter nicht in der Hand haben, die für die Identifizierung von IP-Adressen erforderlichen Daten frei auszuwählen oder zu verknappen (vgl. [X.], in: [X.]/[X.]/Scherer/[X.], [X.], 2. Aufl. 2015, § 113 Rn. 29; [X.]/[X.], in: [X.]/[X.], [X.], 3. Aufl. 2018, § 113 Rn. 11). Es handelt sich insoweit lediglich um eine technikoffene Formulierung, die - entgegen der Auffassung der [X.]n - jedenfalls nicht die Verwendung rechtswidrig gespeicherter Daten zur Zuordnung dynamischer IP-Adressen eröffnen kann.

(d) § 113 Abs. 1 Satz 3 [X.] eröffnet schließlich auch keine spezifischen Missbrauchsgefahren. Insbesondere ermöglicht er keine über den dort ausdrücklich geregelten Zweck hinausgehende Verwendung von Verkehrsdaten. Der [X.]esetzgeber hat mit § 113 Abs. 1 Satz 3 [X.] hinreichend klargestellt, dass nur Auskünfte zu einzelnen, den Behörden bereits bekannten IP-Adressen unter Verwendung von Verkehrsdaten erlaubt sind (vgl. auch BTDrucks 17/12034, [X.], 12). Eine Ermächtigung zu offenen Anfragen der Behörden zu [X.]inhabern, deren Telekommunikationsverbindungen nicht bekannt sind, enthält die Regelung - auch in Verbindung mit § 113 Abs. 1 Satz 4 [X.] - nicht (vgl. dazu [X.] 125, 260 <357>). Die Übermittlung der einem [X.]inhaber zu einem bestimmten [X.]punkt zugewiesenen IP-Adresse, dessen weitere Daten (wie etwa der Name und die Adresse) der abfragenden Stelle bekannt sind, ist daher nicht zulässig (vgl. [X.], in: [X.]/[X.]/Ruthig, Sicherheitsrecht des [X.], 2. Aufl. 2019, § 10 [X.] Rn. 20). Die Formulierung von § 113 Abs. 1 Satz 3 und 4 [X.] bringt klar zum Ausdruck, dass Verkehrsdaten und alle sonstigen unternehmensinternen Datenquellen überhaupt nur für die Zuordnung einer IP-Adresse verwendet werden dürfen. Eine weitergehende Befugnis ergibt sich entgegen der Auffassung der [X.]n auch nicht aus der in Art. 9 des Änderungsgesetzes ([X.] 2013 [X.]602) enthaltenen allgemein gefassten Formulierung, dass durch die hier angegriffenen Neuregelungen das Fernmeldegeheimnis eingeschränkt sei. Eine gesetzliche Bestimmung zur Wahrung des [X.] kann keine Befugnis zu Eingriffen in das Fernmeldegeheimnis begründen.

[X.]) Unter Berücksichtigung seines gleichwohl erhöhten [X.] erfüllt § 113 Abs. 1 Satz 3 [X.] die sich aus dem [X.] ergebenden Anforderungen an eine hinreichende Begrenzung der Verwendungszwecke für die zu beauskunftenden Daten nicht.

(1) Soweit für die Zuordnung von IP-Adressen nicht nur auf die nach § 96 [X.] erhobenen, sondern auch auf vorsorglich gespeicherte Verkehrsdaten zurückgegriffen werden darf, müssen verfassungsrechtlich zwar nicht die für die unmittelbare Verwendung der [X.]esamtheit der vorsorglich gespeicherten Verkehrsdaten geltenden besonders strengen Voraussetzungen gegeben sein (vgl. [X.] 125, 260 <340>). Dem erhöhten Eingriffsgewicht muss gleichwohl durch hinreichend begrenzte Verwendungszwecke Rechnung getragen werden. Erforderlich sind grundsätzlich die Reichweite des § 113 Abs. 1 Satz 3 [X.] näher begrenzende [X.]n sowie eine Beschränkung auf den Schutz oder die Bewehrung von Rechtsgütern von hervorgehobenem [X.]ewicht.

(a) Die Zuordnung dynamischer IP-Adressen bedarf ‒ wie die allgemeine Bestandsdatenauskunft ‒ begrenzender [X.]n, die sicherstellen, dass Auskünfte nicht ins Blaue hinein eingeholt werden können. Erforderlich sind daher grundsätzlich qualifizierte [X.]n, die einen Anfangsverdacht oder eine konkrete [X.]efahr auf einzelfallbezogener Tatsachenbasis voraussetzen. Letzteres gilt für die Nachrichtendienste ebenso wie für alle zur Abwehr von [X.]efahren für die öffentliche Sicherheit und Ordnung zuständigen Behörden (vgl. [X.] 125, 260 <343 f.>).

(b) Zu den Anforderungen des Übermaßverbots gehört es zudem, dass die in § 113 Abs. 1 Satz 3 [X.] eröffnete Bestandsdatenauskunft durch einen im Verhältnis zum [X.]rundrechtseingriff hinreichend gewichtigen Rechtsgüterschutz gerechtfertigt sein muss. Zwar bedarf es hier grundsätzlich keiner begrenzenden Rechtsgüter- oder Straftatenkataloge. Das maßgeblich aufgrund Art, Umfang und Verwendungsmöglichkeiten der verarbeiteten Daten erhöhte Eingriffsgewicht der Zuordnung von IP-Adressen erlaubt es indessen nicht, diese allgemein und uneingeschränkt auch zur Abwehr jeglicher [X.]efahren sowie zur Verfolgung oder Verhinderung jedweder Ordnungswidrigkeiten zuzulassen. Auch unter Berücksichtigung des gesteigerten Interesses an der Möglichkeit, Kommunikationsverbindungen im [X.] zum Rechtsgüterschutz oder zur Wahrung der Rechtsordnung dem jeweiligen Akteur zuordnen zu können und der angesichts der zunehmenden Bedeutung des [X.]s für die verschiedenartigen Bereiche des täglichen Lebens erhöhten [X.]efahr seiner Nutzung für Straftaten und Rechtverletzungen vielfältiger Art, bedarf die Aufhebung der Anonymität des [X.]s zumindest einer Rechtsgutbeeinträchtigung, der von der Rechtsordnung auch sonst ein hervorgehobenes [X.]ewicht beigemessen wird. Dies schließt Auskünfte zur Verfolgung oder Verhinderung von Ordnungswidrigkeiten nicht vollständig aus. Es muss sich insoweit aber um ‒ auch im Einzelfall ‒ besonders gewichtige Ordnungswidrigkeiten handeln, die der [X.]esetzgeber zudem ausdrücklich benennen muss (vgl. [X.] 125, 260 <344>). Im Bereich der [X.]efahrenabwehr kann dementsprechend nicht jede [X.]efahr für ein Schutzgut als [X.] genügen (vgl. [X.] 150, 244 <286 Rn. 106>). Andernfalls könnte aufgrund des die Unverletzlichkeit der gesamten Rechtsordnung erfassenden Schutzumfangs des [X.]efahrenabwehrrechts jeglicher Verstoß gegen Rechtsvorschriften zum Anlass einer Zuordnung von IP-Adressen werden.

Dem Eingriffsgewicht der individualisierten Zuordnung dynamischer IP-Adressen entspricht es daher, dass sie zu ihrer Rechtfertigung jeweils auf [X.]ründe gestützt werden muss, die dem Schutz oder der Bewehrung von Rechtsgütern von hervorgehobenem [X.]ewicht (vgl. [X.] 125, 260 <344>) dienen. Eines darüber hinausgehenden erheblichen [X.]ewichts bedarf es im Hinblick auf die ausschließlich anlassbezogene und punktuelle Zuordnung des [X.]kontakts nicht. Zu den Rechtsgütern von hervorgehobenem [X.]ewicht zählen jedenfalls die durch das Strafrecht geschützten Rechtsgüter. Der [X.]esetzgeber kann die Bestandsdatenauskunft aber auch zur Verfolgung oder Verhinderung anderer hinreichend gewichtiger Delikte zulassen, für deren Bekämpfung eine Zuordnung von IP-Adressen von Bedeutung ist, was besonders gewichtige Ordnungswidrigkeiten einschließen kann (vgl. dazu [X.] 125, 260 <344>; 150, 244 <284 Rn. 99>).

(c) Die gesetzliche Bestimmung der [X.] und des Schutzguts stehen allerdings in einem Wechselverhältnis, sodass auch die Befugnis zur Zuordnung von IP-Adressen nicht stets das Vorliegen einer konkreten [X.]efahr im tradierten Sinne erfordert. Die Eingriffsbefugnis kann daher auch mit abgesenkten [X.]n den Anforderungen der Verhältnismäßigkeit genügen. Ausreichend ist dabei grundsätzlich das Vorliegen einer konkretisierten [X.]efahr (oben Rn. 148 f.). Je nach [X.]ewicht des zu schützenden Rechtsguts kann es genügen, wenn entweder ein seiner Art nach konkretisiertes und zeitlich absehbares [X.]eschehen erkennbar ist oder alternativ das individuelle Verhalten von Betroffenen die konkrete Wahrscheinlichkeit begründet, dass sie bestimmte Straftaten in überschaubarer Zukunft begehen werden (vgl. [X.] 141, 220 <272 f. Rn. 112, 291 Rn. 164 f., 305 Rn. 213>). Dies gilt sowohl für die allgemeine [X.]efahrenabwehr als auch innerhalb des Aufgabenbereichs der Nachrichtendienste.

Soll eine solche konkretisierte [X.]efahr die Eingriffsbefugnis begründen, bedarf es im Hinblick auf das erhöhte Eingriffsgewicht der Zuordnung von IP-Adressen, das maßgeblich durch die Art, den Umfang und die Verwendungsmöglichkeiten der zu beauskunftenden Bestandsdaten und der dabei verwendeten Verkehrsdaten bestimmt wird, einer Begrenzung der Auskunft auf den Schutz von zumindest besonders gewichtigen Rechtsgütern (vgl. dazu [X.] 141, 220 <270 Rn. 108> m.w.N.). In der Übermittlungsregelung muss der [X.]esetzgeber entweder die Rechtsgüter von besonderem [X.]ewicht selbst konkret benennen oder zumindest das erforderliche [X.]ewicht normenklar festhalten.

Soweit die [X.]efahrenabwehr auf die Verhütung von Straftaten bezogen ist, muss es sich um zumindest schwere Straftaten handeln (vgl. auch [X.] 125, 260 <328 f.>). Welche Straftatbestände hiervon umfasst sein sollen, hat der [X.]esetzgeber abschließend mit der Öffnung der Datenbestände festzulegen. Er kann dabei auf bestehende Kataloge zurückgreifen oder einen eigenen Katalog schaffen, etwa um Straftaten zu erfassen, für die die Zuordnung von IP-Adressen besondere Bedeutung hat. Die Qualifizierung einer Straftat als schwer muss aber in der Strafnorm - etwa durch deren Strafrahmen - einen objektivierten Ausdruck finden (vgl. [X.] 109, 279 <343 ff., insbesondere 347 f.>). Eine [X.]eneralklausel oder die lediglich pauschale Verweisung auf nicht näher eingegrenzte Straftaten reichen hingegen nicht aus (vgl. auch [X.] 125, 260 <329>).

Für den Bereich der Nachrichtendienste muss demgegenüber eine derartige Begrenzung der Rechtsgüter nicht ausdrücklich angeordnet werden, da deren Tätigkeit von vornherein dem Schutz besonders gewichtiger Rechtsgüter in diesem Sinne dient (vgl. [X.] 141, 220 <339 Rn. 320>; vgl. auch [X.] 133, 277 <326 Rn. 118>); schon die Voraussetzung einer hinreichend konkretisierten [X.]efahr als [X.] sichert hier, dass auch im Einzelfall hinreichend gewichtige Rechtsgüter in Frage stehen.

(2) Diesen Anforderungen genügt § 113 Abs. 1 Satz 3 [X.] nicht. Die Zuordnung dynamischer IP-Adressen ist an keine begrenzenden [X.]n gebunden und daher unverhältnismäßig.

(a) § 113 Abs. 2 Satz 1 [X.], der die Voraussetzungen der Übermittlung näher regelt und die Verwendungszwecke auch für die Zuordnung dynamischer IP-Adressen bestimmt, setzt weder einen Anfangsverdacht noch eine auf tatsächliche Anhaltspunkte gestützte konkrete [X.]efahr voraus.

Bezogen auf die allgemeine [X.]efahrenabwehr fehlt zudem die ‒ auch unter Zugrundelegung solchermaßen qualifizierter [X.]n ‒ erforderliche Begrenzung der Befugnis auf einen hinreichend gewichtigen Rechtsgüterschutz. Soweit die Zuordnung einer IP-Adresse zur Abwehr einer [X.]efahr für die öffentliche Sicherheit und Ordnung (§ 113 Abs. 2 Satz 1 [X.]) eröffnet ist, wird die Unverletzlichkeit der Rechtsordnung insgesamt in Bezug genommen, ohne hinsichtlich der in Frage stehenden Rechtsgüter zu gewichten (vgl. [X.] 150, 244 <286 Rn. 106>). Es fehlt eine Beschränkung auf die Abwehr von [X.]efahren für Rechtsgüter von hervorgehobenem [X.]ewicht.

Das [X.]leiche gilt bezogen auf die Strafverfolgung, soweit § 113 Abs. 2 Satz 1 [X.] die Auskunftserteilung zum Zweck der Verfolgung jeglicher Ordnungswidrigkeiten erlaubt. Es fehlt die erforderliche Beschränkung auf besonders gewichtige Ordnungswidrigkeiten. Diese kann auch durch § 46 Abs. 3 Satz 1 OWi[X.] nicht mit der erforderlichen Normenklarheit getroffen werden. Die Regelung untersagt zwar generell - und damit sogar weitergehend - die Verfolgung von Ordnungswidrigkeiten in Bußgeldverfahren, wenn entsprechende Maßnahmen das Telekommunikationsgeheimnis betreffen würden, und dürfte damit auf [X.] die [X.]efahr einer Zuordnung von IP-Adressen zur Verfolgung von Ordnungswidrigkeiten ausschließen. Auch können [X.] durchaus in verschiedenen Regelungen - insgesamt verfassungskonform - abschließend bestimmt werden (vgl. [X.] 125, 260 <351 f.>), wenn, wie hier, die Übermittlung und der Abruf Materien betreffen, für die allein dem [X.] die [X.]esetzgebung zusteht (oben Rn. 110 ff.). Dies setzt aber voraus, dass die Normen in ihrem Zusammenwirken den Verwendungszweck der Daten hinreichend präzise und normenklar umgrenzen, sodass gewährleistet ist, dass der Datentransfer insgesamt den grundrechtlichen Anforderungen genügt. § 46 Abs. 3 Satz 1 OWi[X.] und die hier angegriffene Übermittlungsregelung treffen aber - ohne auch nur aufeinander Bezug zu nehmen - für die Verwendung der Daten einander unauflösbar widersprechende Regelungen.

(b) Die Befugnis zur Zuordnung von IP-Adressen wird in § 113 Abs. 2 Satz 1 [X.] auch nicht durch abgesenkte [X.]n begrenzt. Insbesondere eine konkretisierte [X.]efahr wird weder für die allgemeine [X.]efahrenabwehr noch für die Tätigkeiten der Nachrichtendienste vorausgesetzt. § 113 Abs. 2 Satz 1 [X.] erfordert, soweit die Auskunft nach § 113 Abs. 1 Satz 3 [X.] betroffen ist, weder ein wenigstens der Art nach konkretisiertes und absehbares [X.]eschehen noch alternativ, dass das individuelle Verhalten einer Person die konkrete Wahrscheinlichkeit begründen muss, dass sie in überschaubarer Zukunft eine Straftat begeht. In Bezug auf die allgemeine [X.]efahrenabwehr fehlen zudem die für eine solche Absenkung der [X.]n erforderliche Begrenzung auf den Schutz zumindest besonders gewichtiger Rechtsgüter und - soweit die Straftatenverhütung betroffen ist - eine Beschränkung auf die Verhütung zumindest schwerer Straftaten.

e) Demgegenüber bestehen gegen die hier angegriffenen Übermittlungsregelungen keine Bedenken im Hinblick auf die verfassungsrechtlich gebotene Datensicherheit. [X.] Bestandteil der Anordnung einer [X.] von Daten wie auch der Öffnung privater Datenbestände ist neben einer den Anforderungen genügenden normenklaren Begrenzung der Datenverwendung auch die verfassungsrechtlich gebotene [X.]ewährleistung der Datensicherheit (vgl. für die [X.] [X.] 125, 260 <344>). Hierzu gehören neben den Regelungen zur Sicherheit der gespeicherten Daten auch die Regelungen zur Sicherheit der Datenübermittlung (vgl. [X.] 125, 260 <345>). Die erforderlichen Vorkehrungen betreffen damit zum einen die ‒ für sich genommen ‒ nicht angegriffene Speicherung der Daten nach §§ 95, 96, 111 und 113a, 113b [X.]; die Datensicherheit regeln insoweit etwa §§ 109 f. und 113d [X.]. Zum anderen ist die Sicherheit der Übermittlung der abgerufenen Daten zu gewährleisten. Insoweit sieht § 113 Abs. 5 Satz 2 [X.] für Anbieter mit mehr als 100.000 Kunden die Einrichtung einer gesicherten elektronischen Schnittstelle vor. Die Regelung wird durch Teil B der Technischen Richtlinie zur Umsetzung gesetzlicher Maßnahmen zur Überwachung der Telekommunikation, Erteilung von Auskünften ([X.]) konkretisiert. Dass diese Pflicht für kleinere Diensteanbieter nicht gilt, führt nicht zu einer Unterschreitung des verfassungsrechtlich gebotenen Mindestmaßes der Sicherheit der Datenübermittlung. Insoweit ist jedenfalls die allgemeine Regelung des § 109 Abs. 1 [X.] einschlägig, die sämtlichen Diensteanbietern auferlegt, nach dem Stand der Technik Vorkehrungen zum Datenschutz zu treffen.

Die mit § 113 [X.] korrespondierenden [X.] genügen in materieller Hinsicht weitgehend nicht den verfassungsrechtlichen Anforderungen des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 [X.] und des Art. 10 Abs. 1 [X.].

1. Da Übermittlung und Abruf personenbezogener Daten je eigenständige [X.]rundrechtseingriffe begründen, müssen auch die einzelnen [X.] in Abhängigkeit von dem jeweils betroffenen [X.]rundrecht und ihrem Eingriffsgewicht den Anforderungen der Verhältnismäßigkeit sowie der Normenklarheit und Bestimmtheit genügen. Die relevanten verfassungsrechtlichen Anforderungen ergeben sich vor allem aus dem [X.]rundsatz der Verhältnismäßigkeit im engeren Sinne, der voraussetzt, dass die [X.] auf einer jeweils eigenen hinreichend bestimmten gesetzlichen [X.]rundlage beruhen, die die Datenverwendung auf spezifische Zwecke hinreichend begrenzt.

2. Die angegriffenen [X.] dienen ‒ wie schon § 113 [X.] (oben Rn. 124 ff.) - legitimen Zwecken und sind hierfür geeignet und erforderlich.

Insbesondere bedarf es hinsichtlich der Abfrage von Zugangsdaten nicht der von den [X.]n für erforderlich gehaltenen Subsidiaritätsklausel, wonach eine Abfrage von Zugangsdaten nur dann erfolgen darf, wenn die damit bezweckte Datenerhebung nicht auf andere Weise, insbesondere durch die unmittelbare Inanspruchnahme der Diensteanbieter auf Auskunft über die Inhaltsdaten erreicht werden kann. In Bezug auf die durch Zugangsdaten geschützten Inhalte, die auf [X.] und von dort aus zugänglichen externen Speichermedien gespeichert sind, ist eine unmittelbare Inanspruchnahme der Diensteanbieter schon nicht gleich geeignet, um das angestrebte Ziel zu erreichen. Die Diensteanbieter sind regelmäßig nicht im Besitz der Endgeräte und haben daher selbst dann, wenn sie etwa [X.] und [X.] einer SIM-Karte kennen und das Endgerät nicht zusätzlich durch einen persönlichen Zugangssicherungscode gesichert ist, keinen Zugang zu den dort gespeicherten oder mittelbar zugänglichen Daten wie Fotos, Kontakten oder auch [X.] anderer Diensteanbieter.

Demgegenüber kann zwar der mit einer Abfrage von Zugangsdaten erstrebte Zugriff auf die Inhalte externer Speichereinrichtungen, soweit diese wie etwa Voice-Mailboxen oder gegebenenfalls E-Mail-Postfächer (vgl. aber zu we[X.]asierten [X.] [X.], Urteil vom 13. Juni 2019, [X.], [X.]/18, [X.]:[X.]) dem Anwendungsbereich des [X.] unterfallen, auch durch eine unmittelbare Inanspruchnahme der Diensteanbieter auf Herausgabe (Durchsuchung, Sicherstellung und Beschlagnahme) oder auf Überwachung der laufenden Kommunikation (Telekommunikationsüberwachung, Onlinedurchsuchung) erreicht werden (vgl. [X.] 124, 43 <55>). Diese Maßnahmen sind aus [X.]ründen der Verhältnismäßigkeit regelmäßig auch auf bestimmte [X.]räume (etwa in § 100a, § 100e Abs. 1 Satz 4 und 5 StPO, § 100b, § 100e Abs. 2 Satz 4 und 5 StPO) oder auf bestimmte zeitlich oder sonst abgrenzbare Inhalte zu begrenzen (zur Beschlagnahme von Datenbeständen [X.] 113, 29 <55 f.>; 124, 43 <68>) und gewähren insoweit begrenztere Informationen als der durch Übermittlung des Zugangscodes verschaffte Zugang zu einer Speichereinrichtung (vgl. auch BTDrucks 19/17741, [X.]). Dies lässt freilich unberührt, dass auch die Anwendung der [X.] für Zugangsdaten im Einzelfall dem [X.]rundsatz der Erforderlichkeit zu folgen hat, der sicherstellt, dass Zugangsdaten nicht unabhängig von den Anforderungen an ihre Nutzung und damit gegebenenfalls unter leichteren Voraussetzungen abgefragt werden (vgl. insoweit [X.] 130, 151 <208 f.>). Auch die Nutzung von Zugangsdaten kann daher dahin beschränkt sein, dass sie nur für bestimmte [X.]räume oder anderweitig abgrenzbare Inhalte zulässig ist. Begründet wird insoweit ein begrenztes Erhebungsverbot.

3. Mit dem Verhältnismäßigkeitsgrundsatz im engeren Sinne sind die [X.] nur vereinbar, wenn die einzelnen Befugnisse zum Datenabruf hinreichend begrenzt und die notwendigen übergreifenden Anforderungen an Transparenz, Rechtsschutz und Kontrolle beachtet werden (a). Diesen Anforderungen genügen die angegriffenen Befugnisse zum allgemeinen Abruf von Bestandsdaten (b) im [X.]egensatz zu den Befugnissen zum Abruf von Zugangsdaten (c) weitgehend nicht. Ebenfalls in weitem Umfang nicht hinreichend eingegrenzt sind die Befugnisse zum Abruf von anhand einer dynamischen IP-Adresse bestimmter Bestandsdaten (d), welche zudem sämtlich nicht den verfassungsrechtlichen Anforderungen an die verfahrensrechtlichen Sicherungen genügen(e).

a) Den Anforderungen der Verhältnismäßigkeit im engeren Sinne genügen die angegriffenen [X.], wenn der mit ihnen verfolgte Zweck seinerseits nicht außer Verhältnis zu der Schwere des Eingriffs steht. Die angegriffenen Regelungen müssen hinreichend bestimmt und normenklar eine qualifizierte Ermächtigungsgrundlage für den Datenabruf schaffen (aa). Sie müssen unter Berücksichtigung ihres [X.] und den jeweils verfolgten Zwecken hinreichende [X.] enthalten und insoweit für sich genommen verhältnismäßig ausgestaltet sein ([X.]). Die Befugnisse zum Datenabruf sind darüber hinaus ‒ aus [X.]ründen der Normenklarheit ‒ auch an die in den Übermittlungsregelungen begrenzten Verwendungszwecke gebunden ([X.]). Im Übrigen folgen aus dem Verhältnismäßigkeitsgrundsatz für alle [X.] gewisse übergreifende Anforderungen an Transparenz, individuellen Rechtsschutz und aufsichtliche Kontrolle sowie an Regelungen zur Datennutzung und -löschung (dd).

aa) Mit Rücksicht auf das [X.]ebot der Normenklarheit, dem bei Eingriffen in das Recht auf [X.]e Selbstbestimmung und das Telekommunikationsgeheimnis eine spezifische Funktion zukommt, bedarf es für den Datenabruf in Form eines unmittelbar an private Dritte gerichteten Auskunftsverlangens einer eindeutigen Rechtsgrundlage, die eine Auskunftsverpflichtung der Diensteanbieter eigenständig begründet. Erforderlich sind hinreichend qualifizierte [X.], die über schlichte Datenerhebungsbefugnisse hinausgehen, und klar bestimmen, gegenüber welchen Behörden die Anbieter konkret zur Datenübermittlung verpflichtet sein sollen (vgl. [X.] 130, 151 <202 f.>).

[X.]) Entsprechend den für die Öffnung der Datenbestände entwickelten Maßstäben, müssen [X.] ihrerseits die Verwendungszwecke der Daten hinreichend begrenzen. Dabei sind Anlass, Zweck und Umfang des jeweiligen Eingriffs auch für den Datenabruf bereichsspezifisch, präzise und normenklar festzulegen (vgl. [X.] 130, 151 <202>). Erforderlich sind auch für den Abruf [X.]n, die sicherstellen, dass Auskünfte nur bei einem auf tatsächliche Anhaltspunkte gestützten [X.] eingeholt werden können. Unzulässig ist der Abruf für vielfältige und unbegrenzte Verwendungen im gesamten einer Behörde zugewiesenen Aufgabenbereich (vgl. [X.] 125, 260 <355 f.>). Unter Berücksichtigung des [X.]ewichts des Eingriffs können die [X.]n auch abgesenkt werden (oben Rn. 147 ff.), soweit ein entsprechend gewichtiger Rechtsgüterschutz gewährleistet ist.

[X.]) Die Befugnisse zum Datenabruf müssen nicht nur für sich genommen verhältnismäßig sein, sondern sind ‒ aus [X.]ründen der Normenklarheit ‒ auch an die in den Übermittlungsregelungen begrenzten Verwendungszwecke gebunden. Dies gilt auch, soweit diese verfassungsrechtlich nicht geboten sind.

(1) In Materien, in denen die Länder die [X.] zu treffen haben, beruht dies bereits darauf, dass ihnen die [X.]esetzgebungskompetenz für die Öffnung der Datenbestände und die damit verbundene notwendige Begrenzung ihrer weiteren Verwendung fehlt. Die Länder können diese Datenbestände nicht aufgrund eigener Entscheidung weiter öffnen.

(2) Ungeachtet dessen können landes- wie bundesgesetzliche [X.] nur dann dem [X.]ebot der Normenklarheit genügen, wenn sie den Rahmen der durch die Übermittlungsregelung begrenzten Verwendungszwecke einhalten. Nur dann können [X.] und Abrufregelung eine in ihrem Zusammenwirken hinreichend präzise Umgrenzung des Verwendungszwecks des Datenaustauschs sicherstellen.

Nach dem Bild einer Doppeltür müssen die - jeweils zuständigen - [X.]esetzgeber nicht nur die Tür zur Übermittlung der Daten öffnen, sondern auch die Tür zu deren Abfrage (vgl. [X.] 130, 151 <184>). Insoweit muss schon der [X.]esetzgeber der Übermittlungsregelung in eigener Regelungsverantwortung eine klare und abschließende Entscheidung treffen, zu welchen Zwecken und mit welchen Begrenzungen er die erste Tür öffnet (vgl. [X.] 125, 260 <355>). Diese erste Tür kann auch der [X.]esetzgeber der zweiten Tür nicht weiter öffnen. Er ist vielmehr insoweit an die in der Übermittlungsregelung getroffenen [X.] gebunden (vgl. auch [X.], Verdeckte technische Überwachungsmaßnahmen im Polizei- und Strafverfahrensrecht, 2016, [X.]7). Dabei steht es dem [X.]esetzgeber der [X.] zwar frei, den Datenabruf durch die berechtigten Behörden an noch engere Zwecke, höhere [X.]n oder an den Schutz oder die Bewehrung noch gewichtigerer Rechtsgüter zu binden (vgl. Bäcker, Kriminalpräventionsrecht, 2015, [X.]05). Aus [X.]ründen der Normenklarheit darf er aber selbst dann, wenn er ‒ wie vorliegend ‒ zugleich [X.]esetzgeber der [X.] ist, nicht die in der Übermittlungsregelung begrenzten Verwendungszwecke unterlaufen und die Behörden zum Abruf zu anderen, weitergehenden Zwecken ermächtigen, niedrigere [X.]n oder einen weniger gewichtigen Rechtsgüterschutz vorsehen. [X.] mit solchermaßen abgesenkten [X.] könnten zwar die Behörden - im Rahmen des verfassungsrechtlich Zulässigen - zum Datenabruf ermächtigen; die Diensteanbieter wären jedoch zur Auskunft weder berechtigt noch verpflichtet (vgl. § 113 Abs. 2 Satz 1 [X.]). Derartige [X.] enthielten von daher einen mit der Übermittlungsregelung von vornherein unvereinbaren Normbefehl. Die Verwendungszwecke der auszutauschenden Daten müssen aber gerade durch das Zusammenwirken der [X.] und Abrufregelung normenklar begrenzt sein. Es darf nicht der Anschein erweckt werden, dass eine Behörde losgelöst von den in der Übermittlungsregelung getroffenen [X.] auf Daten zugreifen dürfte. Dadurch würden Zugriffsmöglichkeiten eröffnet, die missbräuchlich und unvorhersehbar genutzt werden könnten.

Ein Widerspruch zwischen Übermittlungsregelung und einer weniger begrenzten Abrufregelung könnte auch nicht dahin aufgelöst werden, dass ein Datenaustausch nur unter den engeren Voraussetzungen der Übermittlungsregelung erfolgen dürfte. Die Einhaltung dieser engeren Voraussetzungen können und dürfen die Diensteanbieter in materieller Hinsicht nicht überprüfen. Sie liegt vielmehr allein in der Verantwortung der abfrageberechtigten Stellen (vgl. § 113 Abs. 2 Satz 4 [X.]) und kann auch nur dort zuverlässig beurteilt werden. Sie würden aber durch die fachrechtlichen [X.] zu einem weitergehenden Datenabruf ermächtigt, ohne dass eine behördeninterne Kontrolle am Maßstab der Übermittlungsregelung gewährleistet wäre. Auch insoweit würden Zugriffsmöglichkeiten eröffnet, die rechtsstaatlich nicht mehr eingehegt und vorhersehbar wären (dazu [X.], [X.], [X.]17 <521>).

dd)Aus dem Verhältnismäßigkeitsgrundsatz folgen darüber hinaus gewisse übergreifende Anforderungen an Transparenz, Rechtsschutz und aufsichtliche Kontrolle, die sich nach den jeweiligen Sachkompetenzen richten und in den [X.] sichergestellt werden müssen (vgl. [X.] 125, 260 <344 ff.>; 150, 244 <285 Rn. 101>; stRspr) und welche sich im Einzelnen nach dem [X.] bemessen. [X.]rechtlich geboten sind auch tragfähige Regelungen zur Nutzung der Daten sowie zur Datenlöschung (vgl. [X.] 65, 1 <46>; 150, 244 <285 Rn. 101>).

b) Die fachrechtlichen Regelungen, die allgemein zum Abruf von Bestandsdaten ermächtigen, genügen diesen verfassungsrechtlichen Anforderungen weitgehend nicht. Den übergreifenden verfahrensrechtlichen Anforderungen wird demgegenüber insoweit [X.]enüge getan (vgl. unten e, Rn. 244 ff.).

aa) Die [X.] schaffen allerdings jeweils hinreichend bestimmt und normenklar spezifische Ermächtigungsgrundlagen für die durch § 113 [X.] zur Übermittlung geöffneten Daten. Neben der Ermächtigung der abfrageberechtigten Behörden nehmen die Regelungen private Dritte in die Pflicht und schaffen damit spezifische Rechtsgrundlagen, die eigenständig eine Auskunftsverpflichtung der Diensteanbieter begründen. Alle Regelungen bezeichnen die jeweils abfrageberechtigte Behörde und nehmen ausdrücklich auf die "nach §§ 95 und 111 [X.] erhobenen Daten" sowie auf § 113 [X.] Bezug.

[X.]) Die angegriffenen Regelungen sind jedoch mit Blick auf ihr Eingriffsgewicht, das sich maßgeblich nach Art, Umfang und Verwendungsmöglichkeiten der betroffenen Daten bestimmt, überwiegend nicht verhältnismäßig ausgestaltet. Fast alle Regelungen setzen keine den Datenabruf begrenzenden [X.]n voraus und enthalten solche auch nicht durch normenklare Verweisungen.

(1) Die allgemein zum Abruf von Bestandsdaten ermächtigenden § 10 Abs. 1 Satz 1 [X.], § 7 Abs. 5 Satz 1, § 15 Abs. 2 Satz 1 ZFd[X.], § 8d Abs. 1 Satz 1 BVerfSch[X.] sowie § 2b Satz 1 [X.] und § 4b Satz 1 [X.], soweit sie auf § 8d Abs. 1 Satz 1 BVerfSch[X.] verweisen, sind nicht hinreichend eingegrenzt und darum unverhältnismäßig.

(a) § 10 Abs. 1 Satz 1 Nr. 1 [X.] ermächtigt das [X.]kriminalamt als Zentralstelle für das polizeiliche Auskunfts- und Nachrichtenwesen und für die Kriminalpolizei zum Abruf von Bestandsdaten. Die Vorschrift setzt allein die Erforderlichkeit der Auskunft zur Erfüllung einer dem [X.]kriminalamt nach § 2 Abs. 2 Nr. 1 oder Abs. 6 [X.] obliegenden Aufgabe voraus, ohne begrenzende [X.]n vorzusehen.

Das [X.]kriminalamt ist als Zentralstelle im Wesentlichen auf die Wahrnehmung von Koordinationsaufgaben beschränkt (vgl. [X.] 110, 33 <51>). Polizeiliche Aufgaben der [X.]efahrenabwehr und Strafverfolgung sind insoweit nicht übertragen, sondern werden dort nur koordiniert und [X.] verklammert. Im Rahmen seiner [X.] unterstützt das [X.]kriminalamt die Polizeibehörden bei der Verhütung und Verfolgung von Straftaten mit länderübergreifender, internationaler oder erheblicher Bedeutung (§ 2 Abs. 1 [X.]). Zur Wahrnehmung dieser Aufgabe hat es alle hierfür erforderlichen Informationen zu sammeln und auszuwerten (§ 2 Abs. 2 Nr. 1 [X.]) sowie unter anderem strategische und operative kriminalpolizeiliche Analysen zu erstellen und Einrichtungen für kriminaltechnische Untersuchungen zu unterhalten und zu koordinieren (vgl. § 2 Abs. 6 [X.]). Soweit es zur Erfüllung dieser Aufgaben erforderlich ist, ermächtigt § 10 Abs. 1 Satz 1 Nr. 1 [X.] dazu, Bestandsdaten abzufragen.

Dabei enthält die Vorschrift keine ihre Reichweite näher begrenzenden [X.]n. Vielmehr erlaubt sie einen Datenabruf schon dann, wenn dieser zur Wahrnehmung der genannten Aufgaben erforderlich ist. Der [X.] wird auch nicht dadurch begrenzt, dass Bestandsdaten gemäß § 10 Abs. 1 Satz 1 Nr. 1 [X.] nur zur Ergänzung vorhandener Sachverhalte oder sonst zu Zwecken der Auswertung erhoben werden dürfen. Die Datenerhebung bleibt damit zwar auf den vorhandenen Informationsstand beschränkt, der nur ergänzt oder ausgewertet werden darf, weshalb die Vorschrift keine Datenerhebungen abdeckt, durch die völlig neue Erkenntnisse erstmals gewonnen werden sollen (vgl. Bäcker, Terrorismusabwehr durch das [X.]kriminalamt, 2009, [X.]). [X.]leichwohl ändert diese Beschränkung nichts am Vorfeldcharakter der Auswertungstätigkeit.

Die Vorschrift kann auch nicht ‒ anders als noch die frühere Übermittlungsregelung in § 113 [X.] a.F. (vgl. [X.] 130, 151 <205 f.>) ‒ verständig dahin ausgelegt werden, dass sie bezogen auf die [X.]efahrenabwehr eine konkrete oder hinreichend konkretisierte [X.]efahr voraussetzt. Denn der Regelung fehlt es nicht nur an einer [X.], sondern bereits an einer Beschränkung auf den Einzelfall, was - neben dem Erfordernis der Erforderlichkeit zur Aufgabenwahrnehmung - grundlegend für eine entsprechende Auslegung ist (vgl. dazu [X.] 130, 151 <205 f.>).

Soweit das [X.]kriminalamt als Zentralstelle auch im Bereich der Strafverfolgung zur Abfrage von Bestandsdaten ermächtigt wird, kommt § 10 Abs. 1 Satz 1 Nr. 1 [X.] von vornherein nicht als Ermächtigungsgrundlage in Betracht. Handelt es sich um rein repressives Handeln, erfordert der Datenabruf das Vorliegen zumindest eines Anfangsverdachts (oben Rn. 146, 153). Sobald aber ein solcher vorliegt, findet grundsätzlich die Strafprozessordnung mit ihren Verfahrensgarantien Anwendung und das [X.]kriminalamt müsste gemäß § 2 Abs. 2 Nr. 2 [X.] die zuständige Strafverfolgungsbehörde des [X.] oder der Länder unterrichten und den Vorgang an diese abgeben. Der Abruf von Bestandsdaten richtet sich dann nicht mehr nach der hier angegriffenen Abrufregelung, sondern allein nach § 100j StPO (vgl. [X.], in: [X.]/[X.]/Ruthig, Sicherheitsrecht des [X.], 2. Aufl. 2019, § 10 [X.] Rn. 11; vgl. auch BTDrucks 17/12034, [X.]). Eine Befugnis des [X.]kriminalamts als Zentralstelle zur Bestandsdatenabfrage kann vor diesem Hintergrund im Bereich der Strafverfolgung grundsätzlich nicht bestehen (vgl. dazu auch BTDrucks 19/17741, [X.]5). Soweit es - wie die Anwendungsbeispiele aus der Praxis zeigen - notwendig sein sollte, in einem konkreten Fall die örtlich zuständige Strafverfolgungsbehörde zu ermitteln, um den Vorgang dann zuständigkeitshalber an diese abzugeben oder um zeitkritische Anfragen im internationalen polizeilichen Dienstverkehr zu bearbeiten (vgl. BTDrucks 17/12034, [X.]), betrifft diese Koordinierungsaufgabe zwar den [X.] der [X.] des [X.]kriminalamtes. Für eine Befugnis zum Datenabruf durch das [X.]kriminalamt als Zentralstelle fehlt jedoch eine - verfassungsrechtlich nicht ausgeschlossene - Regelung dahin, dass und unter welchen Voraussetzungen § 10 Abs. 1 Satz 1 Nr. 1 [X.] hier anwendbar sein kann.

(b)§ 10 Abs. 1 Satz 1 Nr. 2 und 3 [X.], die das [X.]kriminalamt im Rahmen des Schutzes von [X.]organen und der eigenen Leitung (§ 6 [X.]) sowie des [X.] (§ 7 [X.]) zum Datenabruf ermächtigen, soweit die verlangte Auskunft zur Erfüllung dieser Aufgaben erforderlich ist, sind ebenfalls nicht hinreichend begrenzt. Einen konkreten [X.] setzen weder die Regelungen selbst noch die in Bezug genommenen Aufgabennormen in §§ 6 und 7 [X.] voraus. Zwar geht die Begründung des [X.]esetzentwurfs davon aus, dass in diesen Fällen eine konkrete [X.]efahr bestehen wird (vgl. BTDrucks 17/12034, [X.]4). Der [X.]esetzestext lässt dies jedoch nicht erkennen. Insbesondere werden die mit den Aufgabenzuweisungen in §§ 6 und 7 [X.] korrespondierenden allgemeinen Befugnisnormen in §§ 63 bis 65 und § 66 [X.], die jeweils eine im Einzelfall bestehende [X.]efahr oder auch andere [X.]n voraussetzen, nicht in Bezug genommen. Unabhängig davon bestehen im Hinblick auf den allgemeinen Verweis auf die Aufgaben des [X.]kriminalamts nach §§ 6 und 7 [X.] auch Bedenken, ob dies dem Bestimmtheitserfordernis genügt (vgl. [X.] 141, 220 <333 Rn. 303>).

(c)Auch die in den § 15 Abs. 2 Satz 1und § 7 Abs. 5 Satz 1 ZFd[X.] geregelten Befugnisse zum Abruf von Bestandsdaten sind nicht hinreichend eingegrenzt und deshalb unverhältnismäßig. Von daher bedarf es keiner Entscheidung, ob die in beiden Normen gewählte Regelungstechnik mit Verweisungen und zahlreichen Weiterverweisungen noch den Anforderungen an eine hinreichende Normenklarheit genügt (vgl. [X.] 110, 33 <57 f., 61 ff.>; [X.], Urteil des [X.] vom 19. Mai 2020 - 1 BvR 2835/17 -, Rn. 215).

(aa) § 15 Abs. 2 Satz 1 ZFd[X.] ermächtigt das [X.], zur Erfüllung seiner Aufgaben nach § 4 Abs. 2 bis 4 ZFd[X.] Bestandsdaten abzufragen. Die Vorschrift knüpft allein an die Erforderlichkeit zur Erfüllung der Aufgaben des [X.]s bei der Überwachung des Außenwirtschaftsverkehrs, des grenzüberschreitenden Warenverkehrs und der Bekämpfung der international organisierten [X.]eldwäsche an. Die bloße Erfüllung der verschiedenen Aufgaben setzt jedoch keinen [X.] voraus (vgl. dazu [X.], in: [X.], Hk-ZFd[X.], § 4 Rn. 15, 51).

Soweit dem [X.] nach § 4 Abs. 2 und 3 ZFd[X.] die Aufdeckung unbekannter Straftaten und die Vorsorge für künftige Strafverfahren als jeweils repressiv-polizeiliche Aufgaben obliegen (vgl. dazu [X.] 113, 348 <370>; [X.], in: [X.]ola/[X.], BDS[X.], 13. Aufl. 2019, § 45 Rn. 17), kann § 15 Abs. 2 Satz 1 ZFd[X.] von vornherein nicht zum Datenabruf ermächtigen (dazu oben Rn. 212). Das [X.]leiche gilt im Ergebnis, soweit das [X.] bei der Bekämpfung der international organisierten [X.]eldwäsche nach § 4 Abs. 4 ZFd[X.] mitwirkt und insoweit - neben der präventiven Überwachung des [X.]eldverkehrs - originär strafverfolgend tätig wird (vgl. § 12b, § 31a Abs. 6 Zollverwaltungsgesetz (ZollV[X.]); [X.], in: [X.], Hk-ZFd[X.], § 4 Rn. 62).

([X.]) Die Erwägungen zu § 10 Abs. 1 Satz 1 Nr. 1 [X.] und § 15 Abs. 2 Satz 1 ZFd[X.] lassen sich weitgehend auf § 7 Abs. 5 Satz 1 ZFd[X.] übertragen, der das [X.] zur Abfrage von Bestandsdaten zur Erfüllung seiner Aufgaben als Zentralstelle nach § 3 ZFd[X.] ermächtigt. Die dort bestimmten Aufgaben sind noch weiter gefasst als die von § 10 Abs. 1 Satz 1 Nr. 1 [X.] in Bezug genommenen [X.] des [X.]kriminalamts. Das [X.] unterstützt andere Behörden der Zollverwaltung bei der Sicherung des Steueraufkommens und der Überwachung der Ausgaben nach Unionsrecht sowie der Aufdeckung unbekannter Steuerfälle und der Aufdeckung, Verhütung und Verfolgung von Steuerstraftaten und -ordnungswidrigkeiten (§ 3 Abs. 1 ZFd[X.]). Seine Aufgaben umfassen ebenfalls Datenerhebungen weit im Vorfeld einer [X.]efahrenlage, insbesondere auch zur Sammlung und Auswertung von Informationen unter anderem für kriminalwissenschaftliche und -technische Einrichtungen (§ 3 Abs. 8 und 9 Nr. 1 ZFd[X.]). Soweit sich die Aufgaben im präventiv-polizeilichen Bereich bewegen, wird eine begrenzende [X.] an keiner Stelle vorausgesetzt. Soweit sich die [X.] auch im repressiven Bereich bewegen (vgl. etwa § 3 Abs. 1 Satz 1 Nr. 2 ZFd[X.]), was der [X.]esetzgeber offensichtlich nicht im Blick hatte (vgl. BTDrucks 17/12034, [X.]4), ist der Anwendungsbereich des § 7 Abs. 5 Satz 1 ZFd[X.] von vornherein nicht eröffnet.

(d) § 8d Abs. 1 Satz 1 BVerfSch[X.] sowie § 2b Satz 1 [X.] und § 4b Satz 1 [X.], soweit sie auf § 8d Abs. 1 Satz 1 BVerfSch[X.] verweisen, genügen gleichfalls nicht den Anforderungen an die Verhältnismäßigkeit im engeren Sinne. Die Regelungen enthalten weder begrenzende [X.]n noch eine Beschränkung auf den Einzelfall, sondern stellen einzig auf die Erforderlichkeit zur Erfüllung der Aufgabe des jeweiligen Dienstes ab. Umfasst werden daher auch allein strategische Auskunftsinteressen oder die Abrundung eigener Informationsbestände. Entgegen der Annahme der [X.]regierung ist die Aufgabe des [X.]amts für [X.] auch nicht auf die Aufklärung bestimmter Beobachtungsobjekte beschränkt. § 3 Abs. 1 BVerfSch[X.] weist dem [X.]amt ohne Einschränkung die Sammlung und Auswertung von Informationen, insbesondere von sach- und personenbezogenen Auskünften, Nachrichten und Unterlagen über die dort genannten Bestrebungen und Tätigkeiten zu. Dies lässt nicht den Schluss zu, dass die Auskunft auch im Einzelfall zumindest zur Aufklärung einer bestimmten beobachtungsbedürftigen Aktion oder [X.]ruppierung selbst erforderlich sein müsste.

(2) Nur teilweise den Anforderungen der Verhältnismäßigkeit genügt § 40 Abs. 1 Satz 1 [X.], der das [X.]kriminalamt allgemein zum Abruf von Bestandsdaten ermächtigt, soweit dies für die Erforschung eines Sachverhalts oder die Ermittlung des Aufenthalts einer Person nach Maßgabe des § 39 Abs. 1 und 2 [X.] erforderlich ist.

(a) Nicht verhältnismäßig im engeren Sinne ist § 40 Abs. 1 Satz 1 [X.], soweit er auf § 39 Abs. 1 [X.] Bezug nimmt. Der als Befugnisnorm ausgestaltete § 39 Abs. 1 [X.] verweist seinerseits auf § 5 Abs. 1 [X.], der die Aufgabe des [X.]kriminalamts zur Abwehr von [X.]efahren des internationalen Terrorismus beschreibt. Als Aufgabennorm umfasst § 5 Abs. 1 [X.] Ermittlungen auch weit im Vorfeld konkreter [X.]efahren (vgl. zu § 4a Abs. 1 Satz 1 [X.] a.F. [X.] 141, 220 <331 Rn. 297>). Diese tatbestandliche Weite wird durch die weiteren [X.]lieder der [X.] nicht eingehegt. Weder § 40 [X.] selbst noch § 39 [X.] setzen begrenzende [X.]n oder auch nur einen Einzelfallbezug voraus. Vielmehr erlauben sie den Datenabruf bereits dann, wenn die Auskunft allgemein dazu dienen kann, [X.]efahren des internationalen Terrorismus zu begegnen.

Zwar bestimmt der den 5. Abschnitt des [X.]kriminalamtgesetzes einleitende § 38 Abs. 1 [X.], dass das [X.]kriminalamt zur Erfüllung seiner Aufgabe nach § 5 Abs. 1 Satz 1 [X.] die notwendigen Maßnahmen treffen kann, um eine [X.]efahr abzuwenden, und § 38 Abs. 2 [X.] konkretisiert eine [X.]efahr im Sinne dieses Abschnitts als eine im Einzelfall bestehende [X.]efahr für die öffentliche Sicherheit im Zusammenhang mit Straftaten nach § 5 Abs. 1 Satz 2 [X.] (vgl. zur Vorgängerregelung § 20a Abs. 2 [X.] a.F. [X.] 141, 220 <288 Rn. 157>). § 38 Abs. 1 [X.] gilt aber von vornherein nur, soweit die Befugnisse des [X.]kriminalamts nicht besonders geregelt sind. §§ 39 und 40 [X.] stellen jedoch solche besonderen Regelungen dar und setzen ihrerseits gerade keine [X.]efahr voraus (anders als etwa § 20g Abs. 1 Satz 1 Nr. 1 [X.] a.F., vgl. [X.] 141, 220 <288 f. Rn. 158>). Sie gehen daher in ihrem Anwendungsbereich § 38 [X.] vor; nur soweit Befugnisnormen überhaupt eine [X.]efahr voraussetzen, kann auf § 38 Abs. 2 [X.] zurückgegriffen werden (vgl. zu den [X.] Bäcker, Terrorismusabwehr durch das [X.]kriminalamt, 2009, [X.]3).

Auch die weitere tatbestandliche Voraussetzung des § 40 Abs. 1 Satz 1 [X.], dass der Datenabruf zur Erforschung eines Sachverhalts oder des Aufenthaltsorts einer Person erforderlich sein muss, führt zu keiner hinreichenden Begrenzung der Abrufregelung. Die Bedeutung dieses im Strafprozessrecht üblichen Zusatzes (vgl. etwa § 100a Abs. 1 Satz 1 Nr. 3, § 100f Abs. 1 StPO) im Zusammenhang mit Aufgaben der [X.]efahrenabwehr erschließt sich hier nicht.

(b) Soweit § 40 Abs. 1 Satz 1 [X.] auf § 39 Abs. 2 Nr. 1 [X.] Bezug nimmt, fehlen jedenfalls hinreichend begrenzte [X.]n.

In dem gegenüber § 39 Abs. 1 [X.] spezielleren § 39 Abs. 2 [X.] wird die Erhebung personenbezogener Daten zur Verhütung von Straftaten geregelt, die nur unter engeren Voraussetzungen zugelassen wird (vgl. [X.], in: [X.]/[X.]/Ruthig, Sicherheitsrecht des [X.], 2. Aufl. 2019, § 39 [X.] Rn. 2). § 39 Abs. 2 [X.] ergänzt die auf die [X.]efahrenabwehr beschränkte Eingriffsgrundlage des § 39 Abs. 1 [X.] und setzt ausdrücklich schon früher, nämlich bereits bei der Verhütung künftiger Straftaten an. § 40 Abs. 1 Satz 1 [X.] in Verbindung mit § 39 Abs. 2 Nr. 1 [X.] ermächtigt zum Abruf von Bestandsdaten im Bereich des internationalen Terrorismus, soweit Tatsachen die Annahme rechtfertigen, dass eine Person eine Straftat nach § 5 Abs. 1 Satz 2 [X.] begehen will.

Zwar ist der [X.]esetzgeber nicht von vornherein auf die Schaffung von [X.] beschränkt, die der Abwehr konkreter [X.]efahren dienen. Allerdings bedarf es auch bei Maßnahmen zur Straftatenverhütung zumindest einer auf bestimmte Tatsachen und nicht allein auf allgemeine Erfahrungssätze gestützten Prognose, die auf eine konkrete [X.]efahr bezogen ist (oben Rn. 147). [X.]rundsätzlich gehört hierzu, dass ein wenigstens seiner Art nach konkretisiertes und zeitlich absehbares [X.]eschehen erkennbar ist ([X.] 141, 220 <272 Rn. 112, 290 f. Rn. 164>). Insbesondere in Bezug auf terroristische Straftaten kann der [X.]esetzgeber stattdessen aber auch darauf abstellen, ob das individuelle Verhalten einer Person die konkrete Wahrscheinlichkeit begründet, dass sie in überschaubarer Zukunft solche Straftaten begehen wird (vgl. [X.] 141, 220 <272 Rn. 112, 291 Rn. 164>).

Dem wird § 39 Abs. 2 Nr. 1 [X.], der im Wesentlichen dem verfassungsrechtlich beanstandeten § 20g Abs. 1 Satz 1 Nr. 2 [X.] a.F. entspricht (vgl. [X.] 141, 220 <291 Rn. 165>), nicht gerecht. Zwar knüpft er an die mögliche Begehung terroristischer Straftaten an und verlangt das Vorliegen von Tatsachen, die darauf schließen lassen. Die Regelung setzt aber weder die Erkennbarkeit eines wenigstens seiner Art nach konkretisierten und absehbaren [X.]eschehens voraus noch alternativ, dass das individuelle Verhalten einer Person die konkrete Wahrscheinlichkeit begründet, dass sie in überschaubarer Zukunft Straftaten begehen wird (vgl. [X.] 141, 220 <291 Rn. 165>). Sie enthält damit keine begrenzenden Anforderungen an die Vorhersehbarkeit des [X.].

(c) Keinen verfassungsrechtlichen Bedenken unterliegt demgegenüber § 40 Abs. 1 Satz 1 [X.], soweit er auf § 39 Abs. 2 Nr. 2 [X.] Bezug nimmt.

§ 39 Abs. 2 Nr. 2 [X.] erlaubt den Datenabruf gegenüber Kontaktpersonen und entspricht für sich genommen weitgehend dem vom [X.]verfassungsgericht verfassungsrechtlich nicht beanstandeten § 20g Abs. 1 Satz 1 Nr. 3 in Verbindung mit § 20b Abs. 2 Nr. 2 [X.] a.F. (vgl. [X.] 141, 220 <291 ff. Rn. 166 ff.>). Der [X.]esetzgeber eröffnet hier keine ins Blaue hineingehende Möglichkeit der Überwachung des gesamten Umfelds einer Zielperson. Die Vorschrift verlangt vielmehr eine im Einzelnen definierte Tatnähe. Tatsachen, die die Annahme rechtfertigen, dass eines der genannten [X.] vorliegt, sind demnach Voraussetzung für entsprechende Maßnahmen (vgl. dazu im Einzelnen [X.] 141, 220 <292 f. Rn. 168 f.>). Auch die mit Herabsetzung der [X.] einhergehenden erhöhten Anforderungen an das [X.]ewicht der zu schützenden Rechtsgüter sind ohne weiteres erfüllt. Angesichts des begrenzten [X.] der allgemeinen Bestandsdatenauskunft bedarf es einer Begrenzung auf die Verhütung von Straftaten von zumindest erheblichem [X.]ewicht (oben Rn. 150). Die Verhütung der im Einzelnen präzisierten (vgl. § 5 Abs. 1 Satz 2 [X.]) terroristischen Straftaten (vgl. insoweit [X.] 141, 220 <272 f. Rn. 112>) genügt dem allemal.

(3) § 22a Abs. 1 Satz 1 [X.], der die [X.]polizei zum Abruf von Bestandsdaten ermächtigt, soweit dies für die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes einer Person nach Maßgabe des § 21 Abs. 1 und 2 [X.] erforderlich ist, genügt den verfassungsrechtlichen Anforderungen ebenfalls nur teilweise.

(a) Nicht verhältnismäßig ist § 22a Abs. 1 Satz 1 [X.], soweit er auf § 21 Abs. 1 [X.] verweist. § 21 Abs. 1 [X.], der den Abruf von Bestandsdaten von vornherein nur zu präventiv-polizeilichen Zwecken und nicht zur Verfolgung von Straftaten und Ordnungswidrigkeiten gemäß §§ 12, 13 [X.] gestattet (vgl. [X.], in: [X.]/[X.]/Ruthig, Sicherheitsrecht des [X.], 2. Aufl. 2019, § 14 [X.] Rn. 42; Wehr, [X.], 2. Aufl. 2015, § 21 Rn. 4; [X.], in: [X.]/[X.]/[X.]/[X.], [X.], 6. Aufl. 2019, § 22a Rn. 8, § 21 Rn. 10), setzt lediglich voraus, dass ein Abruf zum Zweck einer der [X.]polizei obliegenden Aufgabe erforderlich ist. Damit werden alle Aufgaben erfasst, die der [X.]polizei durch das [X.]polizeigesetz oder andere [X.]gesetze zugewiesen worden sind (§ 1 Abs. 2 [X.]). Weder § 22a Abs. 1 Satz 1 [X.] noch § 21 Abs. 1 [X.] enthalten dabei ihre Reichweite begrenzende [X.]n oder auch nur eine Begrenzung des Abrufs auf Einzelfälle (vgl. [X.], in: [X.]/[X.]/[X.]/[X.], [X.], 6. Aufl. 2019, § 21 Rn. 13). Zwar konkretisiert § 14 Abs. 2 [X.] eine [X.]efahr im Sinne des Abschnitts 2 des [X.]polizeigesetzes als konkrete [X.]efahr. § 21 [X.] geht jedoch als speziellere Regelung der [X.]eneralklausel in § 14 [X.] vor und schließt damit einen Rückgriff auf diese aus (vgl. [X.], in: [X.]/[X.]/[X.]/[X.], [X.], 6. Aufl. 2019, § 21 Rn. 5; vgl. auch zu § 39 Abs. 1 Satz 1 [X.] bereits oben Rn. 221).

(b) § 22a Abs. 1 Satz 1 [X.] ist auch nicht hinreichend begrenzt, soweit er auf § 21 Abs. 2 Nr. 1 [X.] verweist. § 21 Abs. 2 [X.] enthält die gegenüber Absatz 1 speziellere Befugnis zur Erhebung personenbezogener Daten zum Zwecke der Verhütung von Straftaten. Er betrifft in Nummer 1 die Daten eines möglicherweise künftigen Täters. Eine Datenerhebung wird insoweit zwar nur zugelassen, wenn Tatsachen die Annahme rechtfertigen, dass eine Person eine Straftat mit erheblicher Bedeutung im Sinne des § 12 Abs. 1 [X.] begehen will. § 21 Abs. 2 Nr. 1 [X.] enthält jedoch ‒ ebenso wie § 39 Abs. 2 Nr. 1 [X.] (oben Rn. 223 ff.) ‒ keine hinreichend ausgestalteten Prognoseanforderungen (vgl. [X.] 141, 220 <291 Rn. 165>).

(c) Dagegen genügt § 22a Abs. 1 Satz 1 [X.], soweit er auf § 21 Abs. 2 Nr. 2 [X.] verweist, für sich genommen den verfassungsrechtlichen Anforderungen. Zwar bestimmt die Regelung, die die Kontaktpersonen erfasst, keine ins Einzelne gehenden konkreten [X.] (dazu [X.] 141, 220 <292 Rn. 168>), sondern setzt allein voraus, dass Tatsachen die Annahme rechtfertigen, dass die Kontaktperson zu einer Zielperson in einer Weise in Verbindung steht, die erwarten lässt, dass eine Maßnahme zur Straftatenverhütung führen wird, oder eine solche Verbindung hergestellt wird. Der [X.]esetzgeber eröffnet hier aber keine ins Blaue gehende Möglichkeit der Überwachung des gesamten Umfelds einer Zielperson. Es muss vielmehr jenseits allgemeiner Erfahrungssätze eine auf Tatsachen gestützte konkrete Erwartung begründet sein. In der Anwendung der Vorschrift können daher der bloße Kontakt oder die persönliche Nähe des Betreffenden zur Zielperson die Voraussetzungen der Regelung nicht erfüllen. Dies genügt den Anforderungen an die Vorhersehbarkeit des [X.].

Auch die mit Herabsetzung der [X.] einhergehenden erhöhten Anforderungen an das [X.]ewicht der zu schützenden Rechtsgüter sind erfüllt. Die [X.] ist beschränkt auf die Verhütung von Straftaten im Sinne des § 12 Abs. 1 [X.] mit erheblicher Bedeutung.Wenngleich nicht ersichtlich ist, welche konkreten Strafvorschriften zu einer Abfrage von Bestandsdaten ermächtigen, werden diese zumindest ihrer Art nach bezeichnet.

c) Die angegriffenen Befugnisse zum Abruf von Zugangsdaten (vgl. § 10 Abs. 1 Satz 2, § 40 Abs. 1 Satz 2 [X.], § 22a Abs. 1 Satz 2 [X.], § 7 Abs. 5 Satz 2, § 15 Abs. 2 Satz 2 ZFd[X.], § 8d Abs. 1 Satz 2 BVerfSch[X.] sowie § 2b Satz 1 [X.] und § 4b Satz 1 [X.], soweit sie auf § 8d Abs. 1 Satz 2 BVerfSch[X.] verweisen) sind für sich genommen hinreichend begrenzt und verhältnismäßig. Sie genügen auch den übergreifenden verfahrensrechtlichen Anforderungen (vgl. unten e, Rn. 244 ff.).

Alle [X.] setzen gleichlautend voraus, dass eine Auskunft nur verlangt werden darf, wenn die gesetzlichen Voraussetzungen für die Nutzung der Daten vorliegen. Die Regelungen stellen damit sicher, dass Zugangsdaten nicht unabhängig von den Anforderungen an deren Nutzung und damit gegebenenfalls unter leichteren Voraussetzungen abgefragt werden können (vgl. [X.] 130, 151 <208 f.>). Entgegen der Auffassung der [X.]n bedurfte es keiner darüber hinausgehenden abschließenden Auflistung der jeweils in Betracht kommenden Ermächtigungsgrundlagen, die zu einer Nutzung der Daten berechtigen können. Die Fassung der Normen lässt keine Zweifel daran, dass die Zulässigkeit des Abrufs an die Voraussetzungen gebunden ist, die bezogen auf den in der [X.] konkret erstrebten Nutzungszweck zu erfüllen sind (dazu [X.] 130, 151 <209>), mithin, dass die Voraussetzungen einer weiteren Ermächtigungsgrundlage, die eine solche Nutzung erlaubt, erfüllt sein müssen. Unklarheiten darüber, welche Normen hier in Betracht kommen können, bestehen nicht.

Dabei ist es von [X.] wegen unbeachtlich, dass es für den Abruf von Zugangsdaten nach § 10 Abs. 1 Satz 1 Nr. 1, Satz 2 [X.] und § 7 Abs. 5 Satz 2 ZFd[X.] keinen praktischen Anwendungsbereich gibt, weil weder das [X.]kriminalamt noch das [X.] im Rahmen ihrer präventiv-polizeilichen [X.] über eine eigenständige Befugnis zur Nutzung von nicht offen zugänglichen Inhaltsdaten verfügen, die sie zum Abruf von Zugangsdaten berechtigen würde.

d) Die Regelungen zum Abruf von Bestandsdaten, die anhand einer dynamischen IP-Adresse bestimmt werden (§ 10 Abs. 2, § 40 Abs. 2 [X.], § 22a Abs. 2 [X.], § 7 Abs. 6, § 15 Abs. 3 ZFd[X.], § 8d Abs. 2 Satz 1 BVerfSch[X.] sowie § 2b Satz 1 [X.] und § 4b Satz 1 [X.], soweit sie auf § 8d Abs. 2 Satz 1 BVerfSch[X.] verweisen) sind ganz überwiegend nicht hinreichend eingegrenzt und schon deshalb unverhältnismäßig. Allein § 40 Abs. 2 [X.] genügt, soweit er auf § 39 Abs. 2 Nr. 2 [X.] Bezug nimmt, insoweit den verfassungsrechtlichen Anforderungen; er erfüllt jedoch seinerseits nicht die übergreifenden verfahrensrechtlichen Anforderungen (vgl. unten e, Rn. 244 ff.).

Zwar ist es aus [X.]ründen der Verhältnismäßigkeit grundsätzlich nicht geboten, für den Abruf von Bestandsdaten, die anhand dynamischer IP-Adressen bestimmt werden, gegenüber der allgemeinen Bestandsdatenabfrage erhöhte [X.]n vorzusehen (oben Rn. 176, 179). Erforderlich ist aber stets ein hinreichend gewichtiger Rechtsgüterschutz, der in Wechselwirkung mit der jeweiligen [X.] steht. Für die Zuordnung von IP-Adressen bedarf es selbst dann, wenn [X.]n vorgesehen werden, die bezogen auf die [X.]efahrenabwehr eine konkrete [X.]efahr und bezogen auf die Strafverfolgung einen Anfangsverdacht voraussetzen, einer Beschränkung der Eingriffsbefugnis auf den Schutz von Rechtsgütern von hervorgehobenem [X.]ewicht (oben Rn. 177 f.). Sind die [X.]n hingegen herabgesetzt und will der [X.]esetzgeber für die Auskunft die Abwehr konkretisierter [X.]efahren genügen lassen, ist unter Berücksichtigung des spezifischen [X.] der Zuordnung dynamischer IP-Adressen jedenfalls eine Beschränkung auf besonders gewichtige Rechtsgüter geboten (oben Rn. 180). Diesen verfassungsrechtlichen Anforderungen werden die angegriffenen Regelungen - zusätzlich zu dem weitgehenden Fehlen begrenzender [X.]n - überwiegend nicht gerecht.

aa) Die [X.] in § 10 Abs. 2 [X.], § 40 Abs. 2 in Verbindung mit § 39 Abs. 1 und 2 Nr. 1 [X.], § 22a Abs. 2 in Verbindung mit § 21 Abs. 1 und 2 Nr. 1 [X.], § 7 Abs. 6 und § 15 Abs. 3 ZFd[X.], § 8d Abs. 2 Satz 1 BVerfSch[X.] sowie § 2b Satz 1 [X.] und § 4b Satz 1 [X.], soweit sie auf § 8d Abs. 2 Satz 1 BVerfSch[X.] verweisen, knüpfen allein an die ihrerseits unverhältnismäßigen Voraussetzungen der Befugnis zum allgemeinen Abruf von Bestandsdaten an (oben Rn. 206 ff.) und sehen daher auch für die Zuordnung von IP-Adressen keine oder jedenfalls keine hinreichend begrenzenden [X.]n vor. Sie genügen schon deshalb nicht den verfassungsrechtlichen Anforderungen und sind unverhältnismäßig.

(1) Hingegen sehen einige dieser [X.] einen Rechtsgüterschutz vor, der selbst in Kombination mit abgesenkten [X.]n noch hinreichend wäre. So ermächtigt § 40 Abs. 2 [X.] zur Abfrage zum Zwecke der Abwehr von [X.]efahren des internationalen Terrorismus. Dies sind nach der Legaldefinition in § 5 Abs. 1 Satz 2 [X.] nur [X.]efahren der Verwirklichung von näher konkretisierten Straftaten nach § 129a Abs. 1 und 2 St[X.]B, mithin jedenfalls schwere Straftaten. Auch die [X.] im Bereich der Nachrichtendienste sehen in jedem Fall einen hinreichend gewichtigen Rechtsgüterschutz vor. Die von § 8d Abs. 2 BVerfSch[X.], § 2b Satz 1 [X.] und § 4b Satz 1 [X.] jeweils in Bezug genommenen Aufgabenbereiche der Nachrichtendienste (§ 1 Abs. 1 BVerfSch[X.], § 1 Abs. 1 und 2 [X.], § 1 Abs. 2 [X.]) sind von vornherein dadurch gekennzeichnet, dass sie dem Schutz besonders gewichtiger Rechtsgüter oder vergleichbar gewichtiger öffentlicher Interessen dienen (vgl. [X.] 133, 277 <326 Rn. 118>; 141, 220 <339 Rn. 320>), sodass sie an das Vorliegen einer nur konkretisierten [X.]efahrenlage geknüpft werden können.

(2) Eine differenziertere Betrachtung erfordert § 10 Abs. 2, Abs. 1 Satz 1 Nr. 1 [X.]. Die Vorschrift betrifft den Datenabruf durch das [X.]kriminalamt, dessen Aufgaben auf kriminalpolizeiliche Angelegenheiten beschränkt sind (vgl. § 1 Abs. 1 [X.]), in seiner Funktion als Zentralstelle nach § 2 [X.]. Der entsprechend dem [X.] in Art. 73 Abs. 1 Nr. 10 Buchstabe a [X.] verwendete Begriff "Kriminalpolizei" dient der Beschränkung auf Regelungen, die sich auf bedeutsame Straftaten von [X.]ewicht beziehen (vgl. [X.] 133, 277 <318 Rn. 98>); ausgeschlossen sind insoweit jedenfalls die allgemeine [X.]efahrenabwehr und die Bekämpfung von Ordnungswidrigkeiten (vgl. [X.], in: [X.]/[X.], [X.], Art. 73 Rn. 239 (April 2010); [X.], in: Dreier, [X.], 3. Aufl. 2015, Art. 73 Rn. 72). Dies gilt auch für die [X.] des [X.]kriminalamts, die gemäß § 2 Abs. 1 [X.] auf koordinierende und unterstützende Aufgaben bei der Verhütung und Verfolgung von Straftaten mit länderübergreifender, internationaler oder erheblicher Bedeutung beschränkt sind. § 10 Abs. 2, Abs. 1 Satz 1 Nr. 1 [X.] dient damit zwar dem Schutz von Rechtsgütern von hervorgehobenem [X.]ewicht. Da hier jedoch der vorgelagerte Bereich der Verhütung von Straftaten betroffen ist, bedarf es aber des Schutzes besonders gewichtiger Rechtsgüter, was die Verhütung von zumindest schweren Straftaten voraussetzt. Eine derartige Begrenzung enthält die Regelung nicht. Das [X.]leiche gilt für § 22a Abs. 2 [X.] in Verbindung mit § 21 Abs. 2 [X.], der lediglich der Verhütung von Straftaten mit erheblicher Bedeutung dient.

(3) Andere [X.] enthalten von vornherein keine hinreichende Beschränkung auf die im Einzelfall zu schützenden Rechtsgüter. Dies gilt etwa für § 22a Abs. 2 in Verbindung mit § 21 Abs. 1 [X.] sowie für § 7 Abs. 6 und § 15 Abs. 3 ZFd[X.]. Auch § 10 Abs. 2, Abs. 1 Satz 1 Nr. 2 und 3 [X.] regeln diese gebotenen Begrenzungen - anders als etwa § 63 Abs. 2 und § 66 Abs. 1 [X.] -nicht in normenklarer Weise.

[X.]) Dagegen enthalten zwar sowohl § 22a Abs. 2 [X.] in Verbindung mit § 21 Abs. 2 Nr. 2 [X.], als auch § 40 Abs. 2 in Verbindung mit § 39 Abs. 2 Nr. 2 [X.] hinreichend begrenzte [X.]n (oben Rn. 227 f., 232). Doch nur § 40 Abs. 2 [X.] erfüllt auch die unter Berücksichtigung des [X.] der Zuordnung dynamischer IP-Adressen zu stellenden Anforderungen an den Rechtsgüterschutz, wonach die Zuordnung dynamischer IP-Adressen bei - wie hier - abgesenkten [X.]n im Bereich der Straftatenverhütung der Verhütung zumindest schwerer Straftaten dienen muss (oben Rn. 181). § 22a Abs. 2 in Verbindung mit § 21 Abs. 2 Nr. 2 [X.], der die Zuordnung dynamischer IP-Adressen bereits zur Verhütung von Straftaten mit erheblicher Bedeutung zulässt, genügt dem nicht.

e) Die angegriffenen Regelungen genügen im Wesentlichen den aus dem Verhältnismäßigkeitsgrundsatz folgenden übergreifenden Maßgaben an Transparenz, individuellen Rechtsschutz und aufsichtliche Kontrolle. Sie enthalten auch tragfähige Regelungen zur Nutzung der Daten sowie zur Datenlöschung.[X.]rechtlich zu beanstanden ist allerdings, dass den Behörden beim Abruf von anhand dynamischer IP-Adressen bestimmter Bestandsdaten keine Dokumentationspflichten auferlegt werden.

aa) Anders als für heimliche Maßnahmen von höherer Eingriffsintensität (vgl. [X.] 141, 220 <269 Rn. 105, 282 f. Rn. 134 ff.>) bedarf es für die allgemeine Bestandsdatenauskunft aufgrund ihrer vergleichsweise geringen Eingriffsintensität keiner Benachrichtigungspflichten (vgl. [X.] 130, 151 <210>; vgl. auch [X.]MR, [X.], Urteil vom 30. Januar 2020, Nr. 50001/12, § 107 (nicht endgültig); [X.], Urteil vom 2. Oktober 2018, Ministerio Fiscal, [X.]/16, [X.]:C:2018:788, Rn. 60 f.). Vielmehr reicht es unter [X.], wenn die Betroffenen von einer Auskunftserteilung im Rahmen von ihnen gegenüber ergriffenen Folgemaßnahmen erfahren und deren Rechtmäßigkeit dann fachgerichtlich überprüfen lassen können (vgl. [X.] 150, 244 <302 Rn. 154>).

Im Hinblick auf Auskünfte, die eine erhöhte Eingriffsintensität aufweisen, wie die Zuordnung von IP-Adressen und - potentiell - die Auskunft über Zugangsdaten, sehen die fachrechtlichen [X.] eine nachträgliche Benachrichtigung grundsätzlich vor. Die Regelungen genügen den verfassungsrechtlichen Anforderungen, obgleich eine Benachrichtigung nur erfolgt, soweit und sobald der Zweck der Bestandsdatenauskunft nicht vereitelt wird, aber unterbleibt, wenn ihr überwiegende schutzwürdige Belange Dritter oder des Betroffenen entgegenstehen (vgl. [X.] 125, 260 <344>; 129, 208 <250 f.>). Dabei sichert die den Behörden auferlegte Pflicht zur Dokumentation insbesondere der [X.]ründe der Zurückstellung, dass nach gebotener [X.] das Fortbestehen der Voraussetzungen überprüft wird. Einer richterlichen Bestätigung des [X.] von der Benachrichtigung bedarf es darüber hinaus nicht (vgl. [X.] 125, 260 <344>). Im Falle des Abrufs von Zugangsdaten können sich aber erhöhte Anforderungen aus den Ermächtigungsgrundlagen zur Nutzung der Daten ergeben.

[X.]) Eine aufsichtliche Kontrolle ist ‒ wie verfassungsrechtlich geboten (vgl. [X.] 65, 1 <46>; 133, 277 <369 Rn. 214>; 141, 220 <284 f. Rn. 141>; stRspr) ‒ vorgesehen. Neben der Fachaufsicht ist eine datenschutzrechtliche Kontrolle durch den [X.]datenschutzbeauftragten (vgl. etwa §§ 8 ff. [X.]datenschutzgesetz (BDS[X.]), § 69 [X.], § 26a Abs. 2 und 3 BVerfSch[X.], § 32 [X.] und § 12a [X.]) und behördliche Datenschutzbeauftragte (vgl. etwa § 70 [X.]) gewährleistet. Da ein Abruf von Zugangsdaten einen Antrag der jeweiligen Behördenleitung voraussetzt (vgl. § 10 Abs. 3 Satz 1, § 40 Abs. 3 Satz 1 [X.], § 22a Abs. 3 Satz 1 [X.], § 7 Abs. 7 Satz 1, § 15 Abs. 4 Satz 1 ZFd[X.], § 8d Abs. 2 Satz 2, § 8b Abs. 1 Satz 1 BVerfSch[X.] sowie § 4b Satz 1 [X.] und § 2b Satz 1 [X.], jeweils in Verbindung mit § 8d Abs. 2 Satz 2, § 8b Abs. 1 Satz 1 BVerfSch[X.]), besteht insoweit [X.] der internen Aufsicht.

[X.]) Demgegenüber ist es mit den Anforderungen der Verhältnismäßigkeit nicht vereinbar, dass keine Pflicht zur Dokumentation der Entscheidungsgrundlagen für den Abruf solcher Bestandsdaten vorgesehen ist, die anhand einer dynamischen IP-Adresse bestimmt werden.

Angesichts der nur geringen Eingriffsintensität der allgemeinen Bestandsdatenauskunft ist auch unter Berücksichtigung des Umstands, dass die Maßnahme regelmäßig geheim erfolgt und Betroffene auch im Nachhinein nicht über eine erteilte Auskunft benachrichtigt werden, keine Dokumentation der Entscheidungsgrundlagen erforderlich. Sie ist auch nicht deshalb geboten, weil sich die Entscheidung über eine Bestandsdatenabfrage allein im Inneren einer Behörde vollziehen würde (dazu [X.] 150, 244 <303 Rn. 157>). Zwar können allein die Behörden die materiellen Voraussetzungen eines Auskunftsverlangens sicherstellen. Sie treten aber jedenfalls insoweit nach außen, als sie ein schriftliches Auskunftsverlangen unter Angabe einer gesetzlichen Bestimmung an die Diensteanbieter richten müssen (vgl. § 113 Abs. 2 Satz 1 [X.]).

Dagegen kann die Zuordnung dynamischer IP-Adressen angesichts ihres erhöhten [X.] nur dann als verhältnismäßig angesehen werden, wenn die Entscheidungsgrundlagen für die Durchführung einer solchen Maßnahme nachvollziehbar und überprüfbar dokumentiert werden. Die rechtlichen und tatsächlichen [X.]rundlagen entsprechender Auskunftsbegehren sind aktenkundig zu machen ([X.] 125, 260 <344>). Zum einen rationalisiert und mäßigt es die Entscheidung, wenn die entscheidende Behörde sich selbst über ihre Entscheidungsgrundlagen Rechenschaft ablegen muss. Zum anderen ermöglicht erst die Dokumentation eine aufsichtliche Kontrolle durch die Datenschutzbeauftragten. Schließlich wird durch die Dokumentation die verwaltungsgerichtliche Kontrolle erleichtert (vgl. [X.] 150, 244 <303 Rn. 157>). Für den Abruf von Zugangsdaten bedarf es demgegenüber keiner Regelung genereller Dokumentationspflichten. Soweit sie aufgrund des [X.] im Einzelfall geboten sein sollten, ergeben sich entsprechende Anforderungen regelmäßig aus den jeweiligen Ermächtigungsgrundlagen zur Nutzung der Daten.

dd) [X.]esetzlich geregelter Berichtspflichten gegenüber Parlament und Öffentlichkeit bedarf es nicht. Die Notwendigkeit, durch parlamentarische Berichtspflichten eine unmittelbar demokratisch legitimierte Kontrolle und Überprüfung zu erreichen, besteht aus [X.]ründen der Verhältnismäßigkeit nur für tief in die Privatsphäre eingreifende Ermittlungs- und Überwachungsbefugnisse mit spezifisch breitenwirksamem [X.]rundrechtsgefährdungspotential (vgl. [X.] 141, 220 <268 f. Rn. 103, 285 Rn. 142 f.> m.w.N.). Bei - wie vorliegend - nicht besonders eingriffsintensiven Maßnahmen ist eine derartige Beobachtung und Evaluation entgegen der Auffassung der [X.]n nicht geboten.

ee) Eine vorherige Kontrolle durch eine unabhängige Stelle, etwa in Form einer richterlichen Anordnung, ist aus [X.]ründen der Verhältnismäßigkeit verfassungsrechtlich nicht geboten. Von daher begegnet es keinen Bedenken, dass die [X.] einfachrechtlich nur für den Abruf von Zugangsdaten einen Richtervorbehalt beziehungsweise im nachrichtendienstlichen Bereich eine vorherige Überprüfung durch die [X.] 10-Kommission vorsehen und der für den Abruf von Zugangsdaten vorgesehene Richtervorbehalt zahlreiche Ausnahmen kennt.

(1) Ermöglicht eine Norm Maßnahmen einer Behörde, die gegenüber Betroffenen heimlich durchgeführt werden und die besonders geschützte Zonen der Privatheit berühren oder eine besonders hohe Eingriffsintensität aufweisen, ist dem [X.]ewicht des [X.]rundrechtseingriffs durch geeignete Verfahrensvorkehrungen Rechnung zu tragen und insbesondere eine vorherige Kontrolle durch eine unabhängige Stelle, etwa in Form einer richterlichen Anordnung, vorzusehen (vgl. [X.] 120, 274 <331>; 141, 220 <275 Rn. 117>; vgl. auch [X.]MR, [X.] und [X.], Urteil vom 12. Januar 2016, Nr. 37138/14, § 77). Abzustellen ist neben der Heimlichkeit maßgeblich darauf, dass es sich um Maßnahmen handelt, bei denen damit zu rechnen ist, dass sie auch höchstprivate Informationen erfassen (vgl. [X.] 141, 220 <275 Rn. 117>; vgl. auch [X.], Urteil vom 21. Dezember 2016, [X.] Sverige und [X.] u.a., [X.]/15 u.a., [X.]:C:2016:970, Rn. 99, 120, 125). Eine vorbeugende Kontrolle kann dann bedeutsames Element eines effektiven [X.]rundrechtsschutzes sein und gewährleisten, dass die Entscheidung über eine heimliche Maßnahme auf die Interessen des Betroffenen hinreichend Rücksicht nimmt, wenn dieser selbst seine Interessen aufgrund der Heimlichkeit der Maßnahme im [X.] nicht wahrnehmen kann (vgl. [X.] 120, 274 <331 f.>).

(2) Für die Abfrage anhand dynamischer IP-Adressen bestimmter Bestandsdaten, die die Auswertung von sowohl auf vertraglicher [X.]rundlage als auch vorsorglich gespeicherter Verkehrsdaten verlangt, ist trotz des gegenüber der allgemeinen Bestandsdatenauskunft erhöhten [X.] kein Richtervorbehalt erforderlich (vgl. [X.] 125, 260 <344>). Anders als für [X.], die den Abruf der [X.]esamtheit bevorratend gespeicherter Verkehrsdaten ermöglichen und für die ein Richtervorbehalt grundsätzlich notwendig ist (vgl. [X.] 125, 260 <337 f.>; vgl. [X.], Urteil vom 21. Dezember 2016, [X.] Sverige und [X.] u.a., [X.]/15 u.a., [X.]:C:2016:970, Rn. 120, 125), bedarf es für eine Auskunft über einen [X.]inhaber, der unter nur punktueller und mittelbarer Verwendung von Verkehrsdaten ermittelt wurde, keiner zusätzlichen Sicherungen in Form einer vorbeugenden unabhängigen Kontrolle.

(3) Das [X.]leiche gilt grundsätzlich auch für die Ermächtigung zum Abruf von Zugangsdaten, welche an die Voraussetzungen für ihre Nutzung gebunden ist.Zwar hat schon die [X.] als solche jenseits der vorgesehenen Nutzung der Daten eine eigenständige Eingriffswirkung, weil sie den [X.]en Selbstschutz der Betroffenen vereitelt und so ihr Vertrauen in die Privatheit ihrer Kommunikationsbeziehungen enttäuscht. Das Eingriffsgewicht wird jedoch maßgeblich erst durch die Nutzung der Zugangsdaten bestimmt, nach deren Voraussetzungen sich damit der Zugriff auf diese Daten auch in verfahrensrechtlicher Hinsicht richtet.

Die Verhältnismäßigkeit gebietet daher nicht, für die Erhebung der Zugangsdaten als solche eigene Voraussetzungen vorzusehen und insoweit ausnahmslos einem Richtervorbehalt zu unterstellen. [X.] geboten ist nur, die Auskunftserteilung über die Zugangssicherung - materiell wie verfahrensrechtlich - auch an die Voraussetzungen zu binden, die in der jeweiligen [X.] für den damit konkret erstrebten Nutzungszweck erfüllt sein müssen (vgl. [X.] 130, 151 <208 f.>). Diese bestimmen sich nach eigenständigen Rechtsgrundlagen und unterscheiden sich je nach Art und [X.]ewicht des Eingriffs sowohl in formeller als auch in materieller Hinsicht. Weil bei jeder Abfrage von Zugangsdaten gleichzeitig auch die Voraussetzungen für deren Nutzung vorliegen müssen, ist die vorherige richterliche Kontrolle dann, wenn sie aufgrund einer eingriffsintensiven Nutzung verfassungsrechtlich geboten ist, dort uneingeschränkt sichergestellt (vgl. Bäcker, in: [X.]/[X.], Linien der Rechtsprechung des [X.]verfassungsgerichts, [X.], 2009, S. 99 <114 f.>).

Wenn gleichwohl auf [X.], sozusagen überschießend, für die Abfrage aller Zugangsdaten ein eigener Richtervorbehalt unabhängig von den [X.] vorgesehen ist, führen dessen Ausnahmen (vgl. § 10 Abs. 3 Satz 4, § 40 Abs. 3 Satz 4 [X.], § 22a Abs. 3 Satz 4 [X.], § 7 Abs. 7 Satz 4, § 15 Abs. 4 Satz 4 ZFd[X.]) nicht zur Unverhältnismäßigkeit der Regelungen. Sofern der hier geregelte Richtervorbehalt allerdings dazu bestimmt wäre, die sich aus den jeweiligen [X.] ergebenden Anforderungen an den Richtervorbehalt zu ersetzen, begegnete die Reichweite der hier in Rede stehenden Ausnahmen aber für sich genommen verfassungsrechtlichen Bedenken. Soweit der vorgesehene Richtervorbehalt ausnahmsweise dann entfällt, wenn der Betroffene von einer beabsichtigten [X.] Kenntnis hat oder haben müsste, ist nicht ausgeschlossen, dass Rechtsschutz insoweit nur noch nachträglich stattfinden kann. Der Betroffene wäre dann nicht bessergestellt als im Falle der nachträglichen Benachrichtigung. Der Richtervorbehalt soll demgegenüber aber gerade eine vorbeugende Kontrolle sichern und einen [X.]rundrechtseingriff gegebenenfalls von vornherein vermeiden. Soweit der Richtervorbehalt auch dann entfällt, wenn die Nutzung der Daten bereits durch eine gerichtliche Entscheidung gestattet wird, ist nicht sichergestellt, dass gerade auch die abfragende Behörde zur Nutzung der Daten berechtigt ist und die dafür erforderlichen Voraussetzungen vorliegen (vgl. [X.], [X.], [X.] <364>). Da die Regelung jedoch die sich aus den jeweiligen [X.] ergebenden Anforderungen an einen Richtervorbehalt schon bei Zugriff auf die Zugangsdaten nicht ersetzt, sondern deren Vorliegen voraussetzt, ist sie verfassungsrechtlich nicht zu beanstanden.

ff) Die Regelungen zur Sicherheit, weiteren Nutzung und Löschung der Daten durch die abfragenden Behörden genügen den verfassungsrechtlichen Anforderungen.

(1) Für Bestandsdatenabfragen durch das [X.]kriminalamt, das [X.] und die [X.]polizei regelt § 47 BDS[X.] die allgemeinen [X.]rundsätze der Datenverarbeitung, darunter den Zweckbindungsgrundsatz (§ 47 Nr. 2 BDS[X.]). Ferner stellt § 64 BDS[X.] Anforderungen an die Datensicherheit, während § 74 BDS[X.] Voraussetzungen der Datenübermittlung enthält. Zudem sind nach § 75 Abs. 2 BDS[X.] personenbezogene Daten unverzüglich zu löschen, wenn ihre Verarbeitung unzulässig ist, sie zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen oder ihre Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist.

(2) Die Fachgesetze selbst enthalten ergänzende Regelungen. § 12 [X.] regelt den [X.]rundsatz der Zweckbindung, der auch gemäß den §§ 25 ff. [X.] der Übermittlung im innerstaatlichen und internationalen Bereich [X.]renzen setzt. Darüber hinaus enthalten die §§ 69 ff. [X.] Vorgaben zu Datenschutz, Datensicherheit und Rechten der Betroffenen. Die einzelnen Schutzvorschriften orientieren sich stark an den unterschiedlichen Eingriffsermächtigungen und sind daher differenziert ausgestaltet. Das [X.]polizeigesetz und das Zollfahndungsdienstgesetz enthalten entsprechende Vorschriften (Abschnitt 2 Unterabschnitt 2 Teil 2 [X.], §§ 33 ff. ZFd[X.]). Das insoweit schon durch das [X.]datenschutzgesetz gewährleistete Schutzniveau wird durch diese Vorschriften ergänzt. Auch die gegenständlichen nachrichtendienstlichen [X.]esetze enthalten eigene flankierende Vorschriften. Sie verweisen etwa über § 27 Nr. 2 BVerfSch[X.], § 32a Nr. 2 [X.] und § 13 Nr. 2 [X.] jeweils auf § 64 BDS[X.].

Unabhängig davon, inwieweit das [X.]verfassungsgericht auch für eine solche Prüfung zuständig wäre, ergeben sich aus den Unionsgrundrechten keine weiteren Maßgaben. Auch wenn die angegriffenen Vorschriften teilweise angesichts des Art. 15 [X.] 2002/58/[X.] oder des Art. 6 [X.] (vgl. oben Rn. 85-87) als Durchführung des Unionsrechts im Sinne des Art. 51 Abs. 1 Satz 1 [X.] anzusehen sein sollten, gibt es schon keine konkreten und hinreichenden Anhaltspunkte dafür, dass die [X.]rundrechte des [X.]rundgesetzes in der vorliegenden Auslegung das Schutzniveau der [X.]rundrechtecharta der [X.] in der Rechtsprechung des [X.] im hier zu entscheidenden Fall nicht mit gewährleisten könnten (vgl. [X.], Beschluss des [X.] vom 6. November 2019 - 1 BvR 16/13 -, Rn. 67 ff.). Insbesondere ergeben sich solche Anhaltspunkte nicht aus den Entscheidungen des [X.] zur Vorratsdatenspeicherungsrichtlinie ([X.], Urteil vom 8. April 2014, [X.] und [X.] u.a., [X.] u.a., [X.]:[X.]) und zu Vorratsdatenspeicherungsbefugnissen der Mitgliedstaaten ([X.], Urteil vom 21. Dezember 2016, [X.] Sverige und [X.] u.a., [X.]/15 u.a., [X.]:C:2016:970). In diesen Entscheidungen ging es um die Anforderungen an eine innerstaatlich vollständige Erfassung sämtlicher Telekommunikationsverbindungsdaten, die nahezu lückenlose Persönlichkeitsprofile einzelner Kommunikationsteilnehmer ermöglichen. Hiervon unterscheidet sich die bloß mittelbare und punktuelle Verwendung von Verkehrsdaten bei der Zuordnung dynamischer IP-Adressen grundlegend. Auch aus der Entscheidung des [X.] im Fall "Ministerio Fiscal" ([X.], Urteil vom 2. Oktober 2018, Ministerio Fiscal, [X.]/16, [X.]:C:2018:788) ergeben sich keine Anhaltspunkte für ein über die [X.]rundrechte des [X.]rundgesetzes hinausgehendes Schutzniveau der [X.]rundrechtecharta. [X.] wurde dort vielmehr, dass der Zugang öffentlicher Stellen zu bei Diensteanbietern gespeicherten Bestandsdaten nicht als derart schwerer [X.]rundrechtseingriff angesehen werden kann, dass er nur zur Bekämpfung schwerer Kriminalität zulässig wäre (vgl. [X.], Urteil vom 2. Oktober 2018, Ministerio Fiscal, [X.]/16, [X.]:C:2018:788, Rn. 63; vgl. auch [X.]MR, [X.], Urteil vom 30. Januar 2020, Nr. 50001/12, §§ 95, 101 (nicht endgültig)). Es ist nicht ersichtlich, dass der [X.]rundrechtsschutz des [X.]rundgesetzes hier das Schutzniveau der [X.]rundrechtecharta der [X.] im Rahmen eines auf Vielfalt angelegten [X.]rundrechtsschutzes in [X.] nicht gewährleistet(vgl. auch [X.], Urteil des [X.] vom 19. Mai 2020 - 1 BvR 2835/17 -, Rn. 326).

Die angegriffenen Vorschriften sind überwiegend für mit Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 sowie mit Art. 10 Abs. 1 [X.] unvereinbar zu erklären.

1. Die Feststellung einer [X.]widrigkeit gesetzlicher Vorschriften führt grundsätzlich zu deren Nichtigkeit (§ 95 Abs. 3 Satz 1 [X.]; vgl. [X.] 101, 397 <409>). Allerdings kann sich das [X.]verfassungsgericht, wie sich aus § 31 Abs. 2 Satz 2 und 3 [X.] ergibt, auch darauf beschränken, eine verfassungswidrige Norm nur für mit dem [X.]rundgesetz unvereinbar zu erklären (vgl. [X.] 109, 190 <235>). Die [X.] kann das [X.]verfassungsgericht dabei zugleich mit der Anordnung einer befristeten Fortgeltung der verfassungswidrigen Regelung verbinden. Dies kommt in Betracht, wenn die sofortige Ungültigkeit der zu beanstandenden Norm dem Schutz überragender [X.]üter des [X.]emeinwohls die [X.]rundlage entziehen würde und eine Abwägung mit den betroffenen [X.]rundrechten ergibt, dass der Eingriff für eine Übergangszeit hinzunehmen ist ([X.] 150, 244 <306 Rn. 168> m.w.N.; stRspr). Für die Übergangszeit kann das [X.]verfassungsgericht vorläufige Anordnungen treffen, um die Befugnisse der Behörden bis zur Herstellung eines verfassungsmäßigen Zustandes durch den [X.]esetzgeber auf das zu reduzieren, was nach Maßgabe dieser Abwägung geboten ist ([X.] 141, 220 <351 Rn. 355> m.w.N.).

2. Nach diesen Maßstäben sind die Vorschriften, soweit sie verfassungswidrig sind, nicht für nichtig zu erklären. Die [X.]widrigkeit der zu beanstandenden Regelungen zu Übermittlung und Abruf von Bestandsdaten beruht insbesondere auf nicht hinreichenden [X.]n und fehlenden Anforderungen an den Rechtsgüterschutz. Die [X.]ründe für die [X.]widrigkeit betreffen nicht den [X.] der durch die Vorschriften eingeräumten Befugnisse, sondern ihre rechtsstaatliche Ausgestaltung. Der [X.]esetzgeber kann die Vorschriften insoweit ohne weiteres nachbessern und damit den [X.] der mit ihnen verfolgten Ziele auf verfassungsmäßige Weise verwirklichen. Angesichts der Bedeutung, die der [X.]esetzgeber der Bestandsdatenauskunft für die staatliche Aufgabenwahrnehmung beimessen darf, ist unter diesen Umständen deren vorübergehende Fortgeltung eher hinzunehmen als deren Nichtigkeitserklärung.

3. Die angegriffenen Regelungen sind daher - in dem aus dem Tenor ersichtlichen Umfang - für mit dem [X.]rundgesetz unvereinbar zu erklären.

Dies betrifft zunächst § 113 [X.]. Da alle in § 113 [X.] geregelten [X.] zu beanstanden sind, ist die Vorschrift in [X.]änze für verfassungswidrig zu erklären, weil für die flankierenden Regelungen kein selbständiger Anwendungsbereich verbleibt. Die angegriffenen [X.] sind demgegenüber nur insoweit für verfassungswidrig zu erklären, als die Befugnisse zum allgemeinen Abruf von Bestandsdaten und von anhand dynamischer IP-Adressen bestimmter Bestandsdaten betroffen sind. Ausgenommen hiervon sind § 40 Abs. 1 Satz 1 [X.] in Verbindung mit § 39 Abs. 2 Nr. 2 [X.] sowie § 22a Abs. 1 Satz 1 [X.] in Verbindung mit § 21 Abs. 2 Nr. 2 [X.]. Nicht zu beanstanden sind auch die in allen Fachgesetzen eingeräumten Befugnisse zum Abruf von Zugangsdaten, wenngleich diesen - unbeschadet der Anordnung der vorübergehenden Fortgeltung (dazu sogleich unter 4, Rn. 268) - weithin ein Anwendungsbereich fehlt, da die Regelungen jeweils auf die Befugnis zum allgemeinen Abruf von Bestandsdaten Bezug nehmen und diese ganz überwiegend verfassungswidrig sind. Dies gilt insoweit auch für die Regelungen zum allgemeinen Abruf von Bestandsdaten nach § 40 Abs. 1 Satz 1 in Verbindung mit § 39 Abs. 2 Nr. 2 [X.] sowie § 22a Abs. 1 Satz 1 [X.] in Verbindung mit § 21 Abs. 2 Nr. 2 [X.], die tatbestandlich an die Voraussetzungen des § 39 Abs. 2 Nr. 1 [X.] beziehungsweise § 21 Abs. 2 Nr. 1 [X.] anknüpfen, welche jedoch jeweils für sich genommen den verfassungsrechtlichen Anforderungen an die Bestandsdatenauskunft nicht genügen.

Die [X.]ründe, die zur teilweisen [X.]widrigkeit von § 2b Satz 1 [X.] in der angegriffenen Fassung führen, treffen auf dessen [X.] als § 4 Satz 1 [X.] ebenso zu. [X.]emäß § 78 Satz 2 [X.], der auch im [X.]beschwerdeverfahren und auf zeitlich nachfolgende [X.]esetzesfassungen anwendbar ist (vgl. [X.] 133, 377 <423 Rn. 106>), ist daher § 4 Satz 1 [X.] in der Fassung des [X.]esetzes zur [X.] des [X.]nachrichtendienstes vom 23. Dezember 2016 ([X.] 3346) im Interesse der Rechtsklarheit in demselben Umfang ebenfalls für mit dem [X.]rundgesetz unvereinbar zu erklären. Für die neu gefassten § 7 Abs. 7 Satz 1 und 2, § 15 Abs. 4 Satz 1 und 2 ZFd[X.] besteht keine derartige Veranlassung. Sie enthalten lediglich Regelungen zum Verfahren des Abrufs von Zugangsdaten, die verfassungsrechtlich nicht zu beanstanden sind.

4. Die [X.] ist mit der Anordnung der vorübergehenden Fortgeltung bis zum Ablauf des 31. Dezember 2021 verbunden. Die Anordnung erstreckt sich auf alle für mit der Verfassung für unvereinbar erklärten Befugnisse einschließlich der in § 113 Abs. 2 bis 5 [X.] geregelten verfahrensrechtlichen Anforderungen; sie bedarf mit Blick auf die betroffenen [X.]rundrechte jedoch einschränkender Maßgaben. Diese orientieren sich an den bisherigen Regelungen. Dem [X.]esetzgeber stehen für eine Neuregelung freilich verschiedene Möglichkeiten zur Verfügung, insbesondere die verfassungsrechtlich geforderte Begrenzung der Verwendungszwecke der Bestandsdatenauskunft sicherzustellen. Erforderlich sind stets die Reichweite der Befugnis begrenzende [X.]n und jedenfalls im Bereich der Zuordnung von IP-Adressen auch ein hinreichend gewichtiger Rechtsgüterschutz. Die [X.]n können auch abgesenkt werden, wenn ‒ unter Berücksichtigung von Art, Umfang und Verwendungsmöglichkeiten der verwendeten Daten ‒ entsprechend höhere Anforderungen an den Rechtsgüterschutz gestellt werden (vgl. [X.] 141, 220 <272 f. Rn. 112>). Bis zur Neuregelung gelten nachfolgende Maßgaben:

a) § 113 Abs. 1 Satz 1 [X.] und die hier angegriffenen Regelungen zum allgemeinen Abruf von Bestandsdaten können weiter angewendet werden, wenn eine Auskunft bezogen auf die [X.]efahrenabwehr zur Abwehr einer konkreten [X.]efahr im Sinne der polizeilichen [X.]eneralklausel erforderlich oder bezogen auf die Nachrichtendienste zur Aufklärung einer bestimmten, nachrichtendienstlich beobachtungsbedürftigen Aktion oder [X.]ruppierung im Einzelfall geboten ist. Bezogen auf die Verfolgung von Straftaten und Ordnungswidrigkeiten darf § 113 Abs. 1 Satz 1 [X.] weiter angewendet werden, wenn zumindest ein Anfangsverdacht vorliegt.

b) Darüber hinaus können § 113 Abs. 1 Satz 1 [X.] und § 40 Abs. 1 Satz 1 [X.] oder § 22a Abs. 1 Satz 1 [X.] im jeweiligen Zusammenwirken auch dann angewendet werden, wenn die Auskunft zur Verhütung von Straftaten nach § 39 Abs. 2 [X.] oder § 21 Abs. 2 [X.] erforderlich ist. Dabei sind § 39 Abs. 2 Nr. 1 [X.] und § 22a Abs. 2 Nr. 1 [X.] nur mit der Maßgabe anwendbar, dass bestimmte Tatsachen die Annahme rechtfertigen müssen, dass eine Person innerhalb eines überschaubaren [X.]raums auf eine zumindest ihrer Art nach konkretisierte Weise eine Straftat nach § 5 Abs. 1 Satz 2 [X.] oder eine Straftat mit erheblicher Bedeutung nach § 12 Abs. 1 [X.] begehen wird oder dass deren individuelles Verhalten die konkrete Wahrscheinlichkeit begründet, dass sie innerhalb eines überschaubaren [X.]raums eine solche Straftat begehen wird (vgl. [X.] 141, 220 <272 f. Rn. 112>).

c) § 113 Abs. 1 Satz 2 [X.] kann weiter angewendet werden, wenn auch die Voraussetzungen einer Nutzung der von ihm erfassten Daten im Einzelfall vorliegen (vgl. [X.] 130, 151 <210>).

d) § 113 Abs. 1 Satz 3 [X.] und die hier angegriffenen Regelungen zum Abruf von Bestandsdaten, die anhand einer dynamischen IP-Adresse bestimmt werden, dürfen weiter angewendet werden, wenn über die zuvor unter a) formulierte Maßgaben hinaus die Auskunft zur Abwehr einer [X.]efahr für Rechtsgüter von hervorgehobenem [X.]ewicht oder zur Verfolgung von Straftaten oder zumindest besonders gewichtigen Ordnungswidrigkeiten erfolgt.

e) Darüber hinaus können § 113 Abs. 1 Satz 3 [X.] und § 40 Abs. 2 [X.] oder § 22a Abs. 2 [X.] im jeweiligen Zusammenwirken und soweit sie auf § 39 Abs. 2 [X.] beziehungsweise § 21 Abs. 2 [X.] Bezug nehmen unter Berücksichtigung der unter a) und b) formulierten Maßgaben weiter angewendet werden, wobei im Falle des § 22a Abs. 2 [X.] die Auskunft zudem zur Verhütung einer schweren Straftat nach § 12 Abs. 1 [X.] erforderlich sein muss.

Die Auslagenentscheidung beruht auf § 34a Abs. 2 und 3 [X.].

Die Entscheidung ist zu der Frage, ob § 113 Abs. 1 Satz 1 in Verbindung mit Abs. 2 Satz 1 [X.] den Anforderungen der Verhältnismäßigkeit genügt, mit einer [X.]egenstimme ergangen.