zur Blogübersicht

Vorratsdatenspeicherung 2026: Neuer Anlauf der Bundesregierung – Was Unternehmen jetzt wissen müssen

Juni 10, 2026

Im April 2026 hat die Bundesregierung einen Gesetzentwurf zur Wiedereinführung der anlasslosen Vorratsdatenspeicherung in Deutschland vorgelegt. Der Bundesrat fordert inzwischen, die geplante Speicherfrist von drei auf bis zu sechs Monate zu verlängern. Das Thema polarisiert wie kaum ein anderes im deutschen IT-Recht: Auf der einen Seite steht das Interesse der Strafverfolgungsbehörden an effektiver Verbrechensbekämpfung, auf der anderen das Grundrecht auf informationelle Selbstbestimmung und die europäische Rechtsprechung gegen die Massenspeicherung von Kommunikationsdaten. Die Kanzlei Wetzel erklärt, was der neue Gesetzentwurf vorsieht, wen er betrifft und welche rechtlichen Konsequenzen zu erwarten sind.

Das Wichtigste auf einen Blick

Neuer Gesetzentwurf (April 2026): Die Bundesregierung plant die anlasslose Speicherung von Verbindungs- und Standortdaten durch Telekommunikationsanbieter.
Geplante Speicherfrist: 3 Monate; der Bundesrat fordert eine Verlängerung auf bis zu 6 Monate.
Betroffen: Telekommunikationsanbieter, Internetprovider (ISPs), Anbieter von nummernunabhängigen Kommunikationsdiensten (z.B. Messenger-Dienste).
Rechtliche Unsicherheit: Der EuGH und der EGMR haben anlasslose Vorratsdatenspeicherung wiederholt als unionsrechtswidrig eingestuft.
Handlungsbedarf jetzt: Betroffene Unternehmen sollten ihre technischen Systeme und die Datenschutzdokumentation bereits jetzt prüfen und anpassen.

„Die Vorratsdatenspeicherung kehrt auf die politische Agenda zurück – und mit ihr die drängenden Fragen nach der Vereinbarkeit mit EU-Recht, DSGVO und Grundrechten. Unternehmen, die als Telekommunikations- oder Internetdienstleister tätig sind, müssen die Entwicklung genau beobachten und ihre rechtliche Position jetzt klären.”

Was ist Vorratsdatenspeicherung?

Unter Vorratsdatenspeicherung (englisch: data retention) versteht man die gesetzlich vorgeschriebene, anlasslose Speicherung von Telekommunikations-Verbindungsdaten durch Netzanbieter und Dienstleister – also unabhängig davon, ob ein konkreter Verdacht gegen eine Person besteht. Gespeichert werden nicht die Inhalte von Gesprächen oder Nachrichten, sondern sogenannte Metadaten: Wer hat wann mit wem kommuniziert? Von welchem Standort? Wie lange dauerte das Gespräch? Welche IP-Adresse wurde genutzt?

Diese Metadaten können nach Ablauf der Speicherfrist von Strafverfolgungsbehörden auf richterliche Anordnung abgerufen werden. Ziel ist es, schwere Straftaten wie Terrorismus, Kindesmissbrauch oder Cyberkriminalität effizienter verfolgen zu können.

Warum ist die Vorratsdatenspeicherung so umstritten?

Die anlasslose Massenspeicherung der Verbindungsdaten aller Bürgerinnen und Bürger – ohne konkreten Verdacht – gilt als schwerwiegender Eingriff in das Grundrecht auf Privatsphäre und informationelle Selbstbestimmung. Der Europäische Gerichtshof (EuGH) hat diese Form der Vorratsdatenspeicherung in mehreren Urteilen für unvereinbar mit dem EU-Recht erklärt:

Im September 2022 entschied der EuGH in den Verfahren SpaceNet und Telekom Deutschland endgültig: Eine anlasslose, flächendeckende Vorratsdatenspeicherung ist mit dem Unionsrecht – insbesondere der ePrivacy-Richtlinie und der EU-Grundrechtecharta – nicht vereinbar.
Ausnahmen sind lediglich bei gezielter Speicherung in bestimmten geografischen Bereichen oder für spezifische Personenkategorien (insbesondere IP-Adressen-Speicherung zur Verfolgung schwerer Cyberkriminalität) unter strengen Voraussetzungen zulässig.

Trotz dieser klaren Rechtsprechung unternimmt die Bundesregierung 2026 einen neuen Anlauf – mit einem Ansatz, der die EuGH-Vorgaben berücksichtigen soll, aber weiterhin erhebliche verfassungsrechtliche und unionsrechtliche Fragen aufwirft.

Der neue Gesetzentwurf 2026 im Überblick

Der im April 2026 vorgelegte Gesetzentwurf sieht im Wesentlichen folgende Regelungen vor:

Anlasslose Speicherung von IP-Adressen: Internetprovider sollen verpflichtet werden, die dynamischen IP-Adressen ihrer Kunden für drei Monate zu speichern. Diese Regelung gilt als am ehesten vereinbar mit der EuGH-Rechtsprechung, da sie gezielt der Verfolgung schwerer Cyberkriminalität dient.
Standortdaten bei Mobilfunk: Mobilfunkanbieter sollen verpflichtet werden, Standortdaten zu Beginn einer Kommunikationsverbindung ebenfalls zu speichern.
Geplante Speicherfrist: Der Gesetzentwurf sieht eine Mindest-Speicherfrist von 3 Monaten vor. Der Bundesrat hat im weiteren Gesetzgebungsverfahren gefordert zu prüfen, ob eine Verlängerung auf bis zu 6 Monate möglich ist.
Keine Inhaltsdaten: Inhalte von Gesprächen oder Nachrichten sind ausdrücklich vom Gesetzentwurf ausgenommen.
Zugriff nur auf richterliche Anordnung: Strafverfolgungsbehörden können nur mit richterlicher Genehmigung auf die gespeicherten Daten zugreifen.

Wen betrifft das Gesetz?

Von den geplanten Speicherpflichten sind insbesondere folgende Unternehmensgruppen betroffen:

Telekommunikationsanbieter – klassische Festnetz- und Mobilfunkanbieter – stehen im Mittelpunkt der neuen Regelungen. Sie müssen die technische Infrastruktur vorhalten, um die gesetzlich vorgeschriebene Datenspeicherung zu ermöglichen.

Internetprovider (ISPs) – vom großen Konzern bis zum kleinen regionalen Anbieter – sind verpflichtet, dynamische IP-Adressen ihrer Nutzer zu speichern und auf richterliche Anordnung an Behörden herauszugeben.

Anbieter nummernunabhängiger interpersoneller Kommunikationsdienste – also Messenger-Dienste wie WhatsApp, Signal oder Telegram – könnten bei einer Ausweitung des Gesetzes über die reine IP-Adressenspeicherung hinaus ebenfalls erfasst werden.

Unternehmen mit eigenem Telekommunikationsnetz (Corporate Networks) sollten prüfen, ob sie als Anbieter im Sinne des Gesetzes gelten und welche Pflichten sie treffen.

Datenschutzrechtliche Einordnung: DSGVO und EU-Recht

Die Vereinbarkeit des neuen Gesetzentwurfs mit europäischem Datenschutzrecht bleibt kritisch zu hinterfragen:

DSGVO-Konformität: Eine gesetzliche Verpflichtung zur Datenspeicherung kann als Rechtsgrundlage nach Art. 6 Abs. 1 lit. c DSGVO dienen – aber nur, wenn das zugrunde liegende Gesetz selbst EU-rechtskonform ist. Genau das ist nach der bisherigen EuGH-Rechtsprechung zweifelhaft.

ePrivacy-Richtlinie: Die Speicherung von Verbindungsdaten ist grundsätzlich nach der ePrivacy-Richtlinie verboten. Eine Ausnahme ist nur zulässig, wenn sie die EU-Grundrechtecharta beachtet und verhältnismäßig ist.

Grundrechte: Sowohl das Recht auf Achtung des Privatlebens (Art. 7 EU-Grundrechtecharta) als auch der Schutz personenbezogener Daten (Art. 8 EU-Grundrechtecharta) sind berührt. Einschränkungen sind nur zulässig, wenn sie das Wesensgehalt dieser Rechte achten. Mehr zum Datenschutzrecht finden Sie auf unserer Datenschutz-Seite.

Quick Freeze als datenschutzfreundliche Alternative

Als Alternative zur anlasslosen Vorratsdatenspeicherung wird häufig das sogenannte „Quick Freeze”-Verfahren diskutiert. Dabei werden Verbindungsdaten nicht anlasslos gespeichert, sondern erst dann „eingefroren” (gesichert), wenn gegen eine bestimmte Person ein konkreter Verdacht besteht.

Vorteile des Quick Freeze:

Kein Eingriff in die Rechte unbescholtener Bürgerinnen und Bürger
Eher vereinbar mit der EuGH-Rechtsprechung und dem Verhältnismäßigkeitsgrundsatz
Geringerer technischer und finanzieller Aufwand für betroffene Anbieter

Kritiker des Quick Freeze wenden ein, dass das Verfahren bei noch unbekannten Tätern keine rückwirkende Rückverfolgung ermöglicht – was besonders bei der Bekämpfung von Kindesmissbrauch und Terrorismus als Schwäche gesehen wird. Das politische Ringen zwischen beiden Ansätzen prägt die aktuelle Gesetzgebungsdebatte.

Was Unternehmen jetzt tun sollten

Auch wenn der Gesetzentwurf noch im Gesetzgebungsverfahren ist, sollten betroffene Unternehmen die Entwicklung aktiv verfolgen und erste Vorbereitungsmaßnahmen ergreifen:

Betroffenheitsanalyse: Prüfen Sie, ob Ihr Unternehmen als Telekommunikationsanbieter oder ISP im Sinne des geplanten Gesetzes einzustufen ist.
Technische Infrastruktur prüfen: Verfügt Ihr Unternehmen bereits über die technischen Kapazitäten zur Datenspeicherung? Die Implementierung kann zeitintensiv sein.
Datenschutzdokumentation aktualisieren: Datenschutzhinweise, Verfahrensverzeichnisse und Auftragsverarbeitungsverträge müssen ggf. angepasst werden, sobald das Gesetz in Kraft tritt.
Kosten kalkulieren: Die Vorratsdatenspeicherung erfordert erhebliche Investitionen in Infrastruktur und Sicherheitsmaßnahmen. Planen Sie diese frühzeitig ein.
Rechtliche Beratung einholen: Die Rechtslage ist komplex und im Fluss. Mehr zu unseren Leistungen finden Sie auf unserer Leistungsseite.

„Ob das neue Gesetz vor dem EuGH standhalten wird, ist ungewiss. Klar ist aber: Telekommunikationsunternehmen und Internetanbieter, die sich frühzeitig rechtlich und technisch auf die neuen Anforderungen vorbereiten, sind besser aufgestellt – unabhängig davon, wie das Gesetzgebungsverfahren ausgeht.”

So hilft die Kanzlei Wetzel bei der Vorratsdatenspeicherung

Als auf IT-Recht, Datenschutz und Vertragsrecht spezialisierte Kanzlei unterstützt die Kanzlei Wetzel Telekommunikationsunternehmen, Internetprovider und andere betroffene Unternehmen bei allen Fragen rund um die Vorratsdatenspeicherung:

Betroffenheitsanalyse: Prüfung, ob und in welchem Umfang das geplante Gesetz auf Ihr Unternehmen Anwendung findet.
Datenschutzrechtliche Beratung: Einschätzung der DSGVO-Konformität der Speicherpflichten und Entwicklung einer rechtssicheren Umsetzungsstrategie.
Vertragsanpassung: Aktualisierung von Datenschutzhinweisen, AGB und Auftragsverarbeitungsverträgen. Mehr zu unseren Leistungen finden Sie auf unserer Leistungsseite.
Behördenkommunikation: Unterstützung im Umgang mit Datenschutzbehörden und Strafverfolgungsbehörden.
Monitoring des Gesetzgebungsverfahrens: Wir behalten die Entwicklung für Sie im Blick und informieren über relevante Änderungen.

Besuchen Sie auch unseren „Blog – Recht einfach”, in dem wir juristisch fundierte, aber allgemeinverständliche Artikel zu aktuellen Rechtsthemen veröffentlichen – täglich und tagesaktuell!

Häufige Fragen (FAQ)

Gilt die Vorratsdatenspeicherung auch für kleine Internetanbieter?

Grundsätzlich ja – der Gesetzentwurf sieht keine ausdrückliche Ausnahme für kleine Anbieter vor. Allerdings ist zu prüfen, ob ein kleinerer ISP unter die Definition des „Anbieters öffentlich zugänglicher Telekommunikationsdienste” fällt. Unternehmen mit rein internen Corporate Networks sind in der Regel nicht betroffen. Für eine individuelle Prüfung empfehlen wir eine Beratung durch einen auf IT-Recht spezialisierten Rechtsanwalt.

Was ist der Unterschied zwischen Vorratsdatenspeicherung und Quick Freeze?

Bei der Vorratsdatenspeicherung werden Verbindungsdaten aller Nutzer anlasslos und automatisch gespeichert – unabhängig von einem konkreten Tatverdacht. Beim Quick Freeze werden Daten erst dann gesichert, wenn ein konkreter Verdacht gegen eine bestimmte Person besteht. Quick Freeze ist datenschutzfreundlicher und steht eher im Einklang mit der EuGH-Rechtsprechung, wird von Strafverfolgungsbehörden jedoch als weniger effektiv kritisiert, weil bei unbekannten Tätern keine rückwirkende Rückverfolgung möglich ist.

Wie verhält sich die Vorratsdatenspeicherung zur DSGVO?

Die Vorratsdatenspeicherung und die DSGVO stehen in einem Spannungsverhältnis. Eine gesetzliche Verpflichtung kann grundsätzlich als Rechtsgrundlage nach Art. 6 Abs. 1 lit. c DSGVO dienen – aber nur, wenn das Gesetz selbst EU-rechtskonform ist. Unternehmen müssen zudem sicherstellen, dass die technischen und organisatorischen Maßnahmen dem Datenschutz-by-Design-Grundsatz entsprechen und die Datensicherheit gewährleistet ist. Informationen zum Datenschutzrecht finden Sie auf unserer Datenschutz-Seite.

Was droht Unternehmen bei Nichterfüllung der Speicherpflichten?

Verstöße gegen Speicherpflichten nach dem Telekommunikationsgesetz (TKG) können als Ordnungswidrigkeiten mit Bußgeldern durch die Bundesnetzagentur geahndet werden. In schweren Fällen drohen strafrechtliche Konsequenzen. Die Nichterfüllung von Herausgabepflichten gegenüber Strafverfolgungsbehörden kann ebenfalls rechtliche Folgen haben. Betroffene Unternehmen sollten frühzeitig prüfen, welche Anforderungen auf sie zukommen, und rechtliche Beratung in Anspruch nehmen.

Aktuelle Beiträge

EU Data Act: Ab September 2026 gelten neue Regeln für vernetzte Produkte – Was Hersteller und KMU jetzt wissen müssen

Ab dem 12. September 2026 müssen alle neu in Verkehr gebrachten vernetzten Produkte in der EU so gestaltet sein, dass Nutzer einfach, sicher und strukturiert auf die durch das Produkt erzeugten Daten zugreifen können. Das schreibt der EU Data Act (Verordnung (EU)...

KI-Tools im Unternehmen: ChatGPT, Copilot & Co. datenschutzkonform nutzen – Was jetzt zu beachten ist

Künstliche Intelligenz ist im Unternehmensalltag angekommen. ChatGPT, Microsoft Copilot, Google Gemini und ähnliche Tools werden in deutschen Unternehmen täglich für das Verfassen von Texten, die Analyse von Daten oder die Optimierung interner Abläufe eingesetzt. Doch...

Cyber Resilience Act: Die Meldepflicht kommt – Was Hersteller bis September 2026 wissen müssen

Ab dem 11. September 2026 gilt die Meldepflicht des Cyber Resilience Act (CRA) für alle Hersteller von Produkten mit digitalen Elementen. Wer Software entwickelt, IoT-Geräte vertreibt oder vernetzte Produkte auf den EU-Markt bringt, muss dann aktiv ausgenutzte...

Datenpanne im Unternehmen: Was tun in den ersten 72 Stunden? – Der DSGVO-Notfallplan

Jeden Tag werden Unternehmen in Deutschland Opfer von Cyberangriffen, Hackerattacken oder menschlichem Versagen – mit dem Ergebnis: Personenbezogene Daten gelangen in falsche Hände. Was viele nicht wissen: Die DSGVO schreibt in solchen Fällen eine strenge Meldepflicht...

EU AI Act: Was ab August 2026 auf Unternehmen zukommt – Handlungsbedarf jetzt!

Ab dem 2. August 2026 müssen Unternehmen die Anforderungen des EU AI Act für Hochrisiko-KI-Systeme vollständig erfüllen. Risikomanagementsystem, technische Dokumentation, menschliche Aufsicht und Konformitätsbewertung werden Pflicht. Bußgelder bis zu 15 Mio. Euro drohen. Die Kanzlei Wetzel erklärt, was auf Sie zukommt und was jetzt zu tun ist.

EDPB startet Transparenz-Offensive: Was Unternehmen über die DSGVO-Prüfaktion 2026 wissen müssen

Der Europäische Datenschutzausschuss (EDPB) prüft 2026 europaweit, ob Unternehmen ihre Informationspflichten nach Art. 12–14 DSGVO korrekt erfüllen. 25 Aufsichtsbehörden nehmen an der koordinierten CEF-Aktion teil. Erfahren Sie, was das für Ihr Unternehmen bedeutet und welche Maßnahmen jetzt notwendig sind.

NIS2-Registrierungsfrist abgelaufen: Was jetzt für Ihr Unternehmen gilt

Die Registrierungsfrist für das NIS2-Umsetzungsgesetz ist am 6. März 2026 abgelaufen – und rund 18.500 Unternehmen haben sie verpasst. Was jetzt zu tun ist, welche Sanktionen drohen und wie Sie Ihr Unternehmen schnell in Compliance bringen, erfahren Sie hier.

Handlungsbedarf und Abmahngefahr: Impressum und AGB anpassen – Die OS-Plattform wird abgeschaltet!

Die europäische Plattform zur Online-Streitbeilegung (OS-Plattform) wird endgültig am 20. Juli 2025 abgeschaltet. Bislang mussten Gewerbetreibende auf ihren Websites und in den AGB einen Link auf diese Plattform aufnehmen (Art. 14 ODR-VO). Mit der Abschaltung entfällt...

Erste Hilfe: Inkasso-Mahnbescheid / Abmahnung erhalten – So handeln Sie richtig

Es beginnt oft harmlos: Ein Briefumschlag liegt im Briefkasten, der Absender klingt offiziell – ein Inkassobüro, eine Anwaltskanzlei oder sogar ein Amtsgericht... Was folgt, ist für viele ein Schock: eine Abmahnung, eine Zahlungsaufforderung oder gar ein gerichtlicher...

Erste Hilfe vom Anwalt: Shadowbanning – Was tun, wenn deine Reichweite verschwindet?

Du hast plötzlich das Gefühl, dass deine Posts kaum noch Reichweite generieren? Deine Follower:innen fragen, warum sie deine Livestreams nicht mehr finden? Dann könnte ein Shadowban hinter den Problemen stecken. Als Rechtsanwaltskanzlei mit Schwerpunkt auf...