Neues in Sachen Vorratsdatenspeicherung: Das jüngste Urteil des EuGH vom 21.12.2016

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 07.01.2017

Der Europäische Gerichtshof hat in seinem Urteil vom 21. Dezember 2016 in den Rechtssachen C-203/15 und C-698/15 eine uneingeschränkte Vorratsdatenspeicherung ohne feste Grenzen für unzulässig erklärt. Diese stelle einen zu großen Eingriff in die Grundrechte dar. Eine Speicherung von Seiten elektronischer Kommunikationsdienste zum Zweck der Vorbeugung schwerer Straftaten solle jedoch erlaubt sein, wenn sie „hinsichtlich der Kategorien der zu speichernden Daten, der erfassten elektronischen Kommunikationsmittel, der betroffenen Personen und der vorgesehenen Dauer der Vorratsspeicherung auf das absolut Notwendige beschränkt ist” (Rn. 108). Nationale zuständige Behörden dürften ebenfalls auf diese Daten zugreifen, allerdings nur, wenn für die Zugriffe konkret festgelegte Voraussetzungen vorliegen, zu welchen vor allem eine Datenspeicherung auf dem Unionsgebiet und die Schaltung einer unabhängigen Kontrollinstanz gehöre.

Ausgangspunkt sind die im Vorabentscheidungsverfahren miteinander verbundenen Rechtssachen C-203/15 und C-698/15

Hintergrund für die Entscheidung sind zwei Rechtsstreitigkeiten, welche vorliegend im Vorabentscheidungsverfahren verbunden worden sind. In der Rechtssache C-203/15 klagt die Tele2 Sverige AB gegen Post- ochtelestyrelsen, eine schwedische Überwachungsbehörde für Post und Telekommunikation, gegen eine gegen diese erlassene Anordnung, Standorte und Verkehrsdaten von registrierten Nutzern und ihren Teilnehmern auf Vorrat zu speichern. Durch das Digital Rights Urteil vom 8. April 2014 (EU:C:2014:238) und der damit verkündeten Ungültigkeit der Richtlinie 2006/24/EG sei die Tele2 Sverige AB ihrer Ansicht nach jedoch nicht mehr zu einer Speicherung von Daten auf Vorrat verpflichtet. In der Rechtssache C-698/15 dagegen klagen Watson, Brice und Lewis gegen den Secretary of State of the Home Department auf Überprüfung der Section 1 des DRIPA (Data Retention and Investigatory Powers Act 2014) auf seine Rechtmäßigkeit, da diese die Regelung mit Art. 7 und 8 GRC und mit Art. 8 EMRK für unvereinbar halten.

ePrivacy-Richtlinie 2002/58/EG ist im Lichte der EU-Grundrechtecharta auszulegen

In der ersten Vorlagefrage in der Rechtssache C-203/15 fragt der Kammarrätt i Stockholm (Oberverwaltungsgericht Stockholm), ob Art. 15 Abs. 1 der Richtlinie 2002/58/EG im Lichte der EU-Grundrechtecharta so auszulegen sei, dass er einer nationalen Regelung wie der des Ausgangsverfahrens entgegenstehe, die zur Bekämpfung von Straftaten eine allgemeine und unterschiedslose Vorratsdatenspeicherung vorsieht, von der alle Verkehrs- und Standortdaten aller Nutzer in Bezug auf alle elektronischen Kommunikationsmittel umfasst werden.

Der EuGH stellt zunächst fest, dass eine solche nationale Regelung in den Geltungsbereich des EU-Rechts falle. Die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG regele gem. Art. 3 der Richtlinie die Tätigkeiten der Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste in Hinblick auf die Verarbeitung personenbezogener Daten. Rechtsvorschriften der Mitgliedstaaten im Sinne des Art. 15 der Richtlinie, die Ausnahmen von den Rechten und Pflichten der Richtlinie erlauben, etwa Vorschriften zur Aufbewahrung von Daten, würden ebenfalls in den Geltungsbereich der Richtlinie fallen. Insbesondere bedeute eine Rechtsvorschrift wie die des Ausgangsverfahrens, die den Betreibern elektronischer Kommunikationsdienste vorschreibt, Verkehrs- und Standortdaten auf Vorrat zu speichern, notwendigerweise eine Verarbeitung personenbezogener Daten durch die Betreiber und sei daher vom Geltungsbereich der Richtlinie umfasst. Eine Rechtsvorschrift, die wie die des Ausgangsverfahrens daneben auch den Zugang der nationalen Behörden zu den auf Vorrat gespeicherten Daten regelt, falle ebenso in den Geltungsbereich der Richtlinie, da die in Art. 5 Abs. 1 der Richtlinie garantierte Vertraulichkeit der Kommunikation und der Verkehrsdaten gem. des 21. Erwägungsgrundes der Richtlinie auch den Zugang zu den Daten schütze, und für Tätigkeiten aller anderen Personen als der Nutzer selbst gelte, d.h. sowohl für private Dienstleister als auch für staatliche Einrichtungen.

Der EuGH nimmt sodann eine Auslegung des Art. 15 Abs. 1 der Richtlinie vor. Nach der ständigen Rechtsprechung des EuGH sei Art. 15 Abs. 1 der Richtlinie eng auszulegen, insbesondere dürfe eine Ausnahme vom Grundsatz der Vertraulichkeit der Kommunikation nicht „zur Regel” werden (Rn. 89). Die von dem Grundsatz abweichenden Rechtsvorschriften dürften von den Mitgliedstaaten nur zu den in Art. 15 Abs. 1 Satz 1 der Richtlinie abschließend genannten Zwecken erlassen werden. Art. 15 Abs. 1 Satz 3 der Richtlinie fordere zudem eine Auslegung anhand der von der EU-Grundrechtecharta garantierten Grundrechte, dies betreffe Art. 78 und 11 sowie Art. 52 Abs. 1 GRC. Gem. Art. 15 Abs. 1 Satz 1 der Richtlinie dürfen Mitgliedstaaten eine entsprechende Rechtsvorschrift nur dann erlassen, wenn dies „in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig” ist. Einschränkungen des Schutzes personenbezogener Daten seien nach der ständigen Rechtsprechung des EuGH auf das „absolut Notwendige” zu begrenzen (Rn. 96).

Schwedische Vorratsdatenspeicherung ist als besonders schwerwiegender Eingriff in die EU-Grundrechtecharta zu bewerten

Die in der Rechtssache C-203/15 in Rede stehende nationale Regelung ordnet dem EuGH zufolge eine „systematisch[e]”, „kontinuierlich[e]” und „ausnahmslos[e]” Vorratsdatenspeicherung der Verkehrs- und Standortdaten an (Rn. 97). Die von den Betreibern zu speichernden Daten würden „sehr genaue Rückschlüsse auf das Privatleben” der Nutzer, etwa auf Gewohnheiten, Aufenthaltsorte, Tätigkeiten und Lebensumfeld erlauben (Rn. 99). Insbesondere seien die erhobenen Daten geeignet, ein Profil der jeweiligen Person zu erstellen. Ein solches Profil sei eine „genauso sensible Information” wie der (von der Regelung nicht betroffene) eigentliche Inhalt der Kommunikation (Rn. 99). Darüber hinaus könne die Vorratsdatenspeicherung bei den betroffenen Nutzern das Gefühl einer permanenten Überwachung auslösen. Somit sei der Eingriff in die durch die Charta garantierten Grundrechte als „besonders schwerwiegend” anzusehen (Rn. 100) und könne nur mit der „Bekämpfung schwerer Kriminalität” gerechtfertigt werden (Rn. 102 f.). Entgegen der Systematik der Richtlinie, die eine Vorratsdatenspeicherung von Verkehrs- und Standortdaten lediglich als Ausnahme vorsieht, mache die in Rede stehende nationale Regelung die Vorratsdatenspeicherung zur Regel. Zudem betreffe eine solche Regelung, die alle Nutzer elektronischer Kommunikationsdienste einschließt, nicht nur auch Berufsgeheimnisträger, sondern ebenso Personen, bei denen nicht einmal ein mittelbarer Zusammenhang mit schwerer Kriminalität ersichtlich ist. Die Regelung setze folglich keinen Zusammenhang zwischen den zu speichernden Daten und einer Gefährdung der öffentlichen Sicherheit voraus. Eine nationale Regelung wie die des Ausgangsverfahrens gehe daher über die „Grenzen des absolut Notwendigen” hinaus (Rn. 107) und sei in einer demokratischen Gesellschaft nicht verhältnismäßig, wie in Art. 15 Abs. 1 der Richtlinie in Verbindung mit der EU-Grundrechtecharta gefordert. Auf die erste Vorlagefrage in der Rechtssache C-203/15 antwortet der EuGH daher, dass Art. 15 Abs. 1 der Richtlinie 2002/58/EG im Lichte der Art. 7, 8 und 11 sowie des Art. 52 Abs. 1 GRC dahingehend auszulegen sei, dass er einer nationalen Regelung wie der des Ausgangsverfahrens entgegenstehe, die zur Bekämpfung von Straftaten eine allgemeine und unterschiedslose Vorratsdatenspeicherung vorschreibt, von der alle Verkehrs- und Standortdaten aller Nutzer in Bezug auf alle elektronischen Kommunikationsmittel umfasst werden.

Vorratsdatenspeicherung ist als auf „absolut notwendige Fälle“ reduzierte Maßnahme zulässig

Die Richtlinie stehe jedoch einer solchen nationalen Regelung nicht entgegen, welche zur Bekämpfung schwerer Kriminalität eine Vorratsdatenspeicherung vorsieht, die „hinsichtlich der Kategorien der zu speichernden Daten, der erfassten elektronischen Kommunikationsmittel, der betroffenen Personen und der vorgesehenen Dauer der Vorratsspeicherung auf das absolut Notwendige beschränkt ist” (Rn. 108). Dazu müsse eine solche Vorschrift bestimmte Voraussetzungen enthalten, um zu gewährleisten, dass die Daten der betroffenen Personen vor Risiken des Missbrauchs genügend geschützt sind, und um die Begrenzung einer solchen Maßnahme zur Vorratsdatenspeicherung auf das absolut Notwendige sicherzustellen. Die Speicherung müsse anhand objektiver Kriterien erfolgen, die einen Zusammenhang zwischen den auf Vorrat zu speichernden Daten und dem Zweck der Maßnahme erkennbar machen lassen und die von der Maßnahme betroffenen Personenkreise eingrenzen, etwa durch eine geografische Beschränkung.

Festlegung von klaren Kriterien für staatliche Zugriffsmöglichkeiten auf Vorratsdaten, Schaffung unabhängiger Kontrollinstanzen, Gewährleistung effektiver Betroffenenrechte, Datenschutz und Datensicherheit

In der zweiten Frage der Rechtssache C-203/15 und der ersten Frage der Rechtssache C-698/15 geht es darum, ob Art. 15 Abs. 1 der Richtlinie 2002/58/EG im Licht der Art. 7 und 8 sowie des Art. 52 Abs. 1 GRC dahin auszulegen sei, dass er einer nationalen Regelung entgegenstehe, die den Schutz und die Sicherheit der Verkehrs- und Standortdaten, insbesondere den Zugang der zuständigen nationalen Behörden zu den auf Vorrat gespeicherten Daten, zum Gegenstand habe, ohne diesen auf die Zwecke einer Bekämpfung schwerer Straftaten zu beschränken, einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsbehörde zu unterziehen und ohne das Erfordernis vorzusehen, dass die betreffenden Daten im Gebiet der Union auf Vorrat zu speichern seien.

Hierbei stellt der EuGH zunächst erneut fest, dass die Zwecke für abweichende nationale Regelungen abschließend in Art. 15 Abs. 1 der Richtlinie geregelt seien. Dabei sei eine nationale Regelung, die den Zugang der Behörden zu den auf Vorrat gespeicherten Daten regelt, ebenso ein Eingriff, der verhältnismäßig zu sein habe, sodass, wie schon zuvor erklärt, nur die Ermittlung bei schweren Straftaten im Rahmen des Art. 15 Abs. 1 der Richtlinie für eine Vorratsdatenspeicherung gerechtfertigt sein könne. Diese müsse „in den Schranken des absolut Notwendigen stattfinden” (Rn. 116).

Da des Weiteren im 11. Erwägungsgrund der Richtlinie Rechtsvorschriften „angemessenen Garantien [...] entsprechen” müssen, müsse konkret festgelegt werden „unter welchen Umständen und unter welchen Voraussetzungen die Betreiber elektronischer Kommunikationsdienste den zuständigen nationalen Behörden Zugang zu den Daten zu gewähren haben” (Rn. 117). Diese Kriterien müssten in innerstaatliches Recht umgesetzt werden. Welche Voraussetzungen dies seien, richte sich nach nationalem Recht, allerdings müssten hierbei ebenfalls die materiellen und verfahrensrechtlichen Voraussetzungen geregelt werden. Unzulässig sei mithin eine Regelung, die als Voraussetzung nur auf die Zweckbestimmungen aus Art. 15 Abs. 1 der Richtlinie gerichtet sei. Des Weiteren müsse es sich bei den Voraussetzungen um „objektive Kriterien” (Rn. 119) handeln. In Fällen, in welchen die nationale Sicherheit, die Landesverteidigung oder die Bekämpfung von Terrorismus betroffen seien, sei jedoch auch die Erhebung der Daten anderer Personen zulässig, soweit „es objektive Anhaltspunkte dafür gibt, dass diese Daten in einem konkreten Fall einen wirksamen Beitrag zur Bekämpfung solcher Aktivitäten leisten könnten” (Rn. 119). Damit die Voraussetzungen nicht umgangen würden, sei es außerdem wichtig, eine unabhängige Kontrollinstanz durch Gericht oder die Verwaltung einzuführen, welche auf Antrag tätig würde. Eine Ausnahme von einer Kontrolle sei jedoch in Eilfällen möglich. Ebenso seien die von dem Datenzugang der zuständigen nationalen Behörden betroffenen Personen für einen möglichen späteren Rechtsschutz über den Eingriff zu informieren, sobald eine hierdurch mögliche Beeinträchtigung der Ermittlungen ausgeschlossen sei. Dabei haben die Mitgliedstaaten insbesondere Art. 4 Abs. 1 und Art. 4 Abs. 1a der Richtlinie zu beachten und ein hohes Schutz- und Sicherheitsniveau durch technische und organisatorische Maßnahmen für die Verarbeitung personenbezogener Daten zu gewährleisten. Dies sei von einer unabhängigen Kontrollstelle gem. Art. 8 Abs. 3 GRC zu überwachen. Folglich sei die Vorlagefrage so zu beantworten, dass Art. 15 Abs. 1 der Richtlinie 2002/58 im Licht der Art. 7 und 8 sowie des Art. 52 Abs. 1 GRC dahin auszulegen sei, dass er einer nationalen Regelung entgegenstehe, die den Schutz und die Sicherheit der Verkehrs- und Standortdaten, insbesondere den Zugang der zuständigen nationalen Behörden zu den auf Vorrat gespeicherten Daten, zum Gegenstand habe, ohne diesen auf die Zwecke einer Bekämpfung schwerer Straftaten zu beschränken, einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsbehörde zu unterziehen und ohne das Erfordernis vorzusehen, dass die betreffenden Daten im Gebiet der Union auf Vorrat zu speichern seien.

Keine Auslegungsfragen des EuGH in Bezug auf die EMRK

In der zweiten Vorlagefrage in der Rechtssache C-698/15 geht es um die Frage, ob der EuGH im Urteil Digital Rights die Art. 7 und 8 GRC in einem Sinne ausgelegt habe, der über den hinausgeht, der Art. 8 EMRK vom Europäischen Gerichtshof für Menschenrechte gegeben wurde. Die Richtlinie sei nach Ansicht des EuGH jedoch nur nach der Charta auszulegen, so sei die EMRK nicht förmlich in das Unionsrecht übernommen worden und so entspreche Art. 8 GRC auch inhaltlich nicht dem Art. 7 der Richtlinie. Dies habe zur Folge, dass kein vergleichbarer Rechtsrahmen vorliege und eine Anwendbarkeit zu verneinen sei. Die Aufgabe des EuGH liege schließlich „nicht in der Abgabe von Gutachten zu allgemeinen oder hypothetischen Fragen” (Rn. 130). Folglich sei eine Auslegungsfrage im Bezug auf die EMRK nicht notwendig und die Vorlagefrage im Ergebnis nicht zulässig.

Europäische Vorratsdatenspeicherung – quo vadis?

Das jüngste Urteil des EuGH hat wieder einmal vor Augen geführt, dass es gerade in den heutigen Zeiten wichtiger denn je ist, die informationellen Bürgerrechte zu schützen. Jeder neue terroristische Anschlag und die damit verbundenen rechtspolitischen Debatten zeigen, wie schnell das Verhältnis zwischen Freiheit und Sicherheit aus dem Gleichgewicht zu geraten droht. Der EuGH hat mit seiner Entscheidung verdeutlicht, dass alle Mitgliedstaaten dazu verpflichtet sind, die in der Europäischen Grundrechtecharta niedergelegten Rechte zu achten. Juristisch gesehen eigentlich eine triviale Feststellung – die entsprechenden Vorlageverfahren jedoch haben gezeigt, dass die politischen Ziele des Gesetzgebers nicht selten weit über dessen rechtliche Möglichkeiten hinausgehen. Wie ist nun weiter zu verfahren? Zuallererst sind die vorlegenden nationalen Gerichte gehalten, die Vorgaben des EuGH in ihrer Rechtsprechung umzusetzen. Daneben ist aber schon jetzt auch der Gesetzgeber gefordert zu überprüfen, ob und inwieweit die jeweiligen nationalen Regelungen zur Vorratsdatenspeicherung der aktuellsten Rechtsprechung des EuGH (nicht) entsprechen – insbesondere gilt dies auch für die neuen deutschen Regelungen zur Vorratsdatenspeicherung aus dem Jahre 2015 in den §§ 113a ff. TKG. Ob dies tatsächlich der Fall sein wird, mag aber bezweifelt werden – zumindest spricht eine nicht geringe Wahrscheinlichkeit dafür, dass auch diese Vorratsdatenspeicherung unabhängig von der Entscheidung des EuGH letztlich wieder beim Bundesverfassungsgericht landen wird.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

Kommentare als Feed abonnieren

Kommentar hinzufügen