Vorratsdatenspeicherung — und doch keine Totalüberwachung der Bürger?

Der Gericht­shof der Europäis­chen Union hat auf zwei Vor­abentschei­dungser­suchen des öster­re­ichis­chen Ver­fas­sungs­gericht­shofs und des irischen High Courts die EU-Richtlin­ie über die Vor­ratsspe­icherung von Dat­en für ungültig erk­lärt. Nach Ansicht des Europäis­chen Gericht­shofs enthält sie einen Ein­griff von großem Aus­maß und beson­der­er Schwere in die Grun­drechte auf Achtung des Pri­vatlebens und auf den Schutz per­so­n­en­be­zo­gen­er Dat­en, der sich nicht auf das abso­lut Notwendi­ge beschränkt. Der Gericht­shofs der Europäis­chen Union hat damit über die Richtlin­ie zur Vor­rats­daten­spe­icherung das gle­iche Verdikt gesprochen wie vor eini­gen Jahren bere­its das Bun­desver­fas­sungs­gericht zu dem Gesetz, mit dem die Richtlin­ie in deutsches Recht umge­set­zt wer­den sollte.

Vorratsdatenspeicherung — und doch keine Totalüberwachung der Bürger?

Mit der “Richtlin­ie 2006/24/EG des Europäis­chen Par­la­ments und des Rates vom 15. März 2006 über die Vor­ratsspe­icherung von Dat­en, die bei der Bere­it­stel­lung öffentlich zugänglich­er elek­tro­n­is­ch­er Kom­mu­nika­tions­di­en­ste oder öffentlich­er Kom­mu­nika­tion­snet­ze erzeugt oder ver­ar­beit­et wer­den, und zur Änderung der Richtlin­ie 2002/58/EG1 sollen in erster Lin­ie die Vorschriften der Mit­glied­staat­en über die Vor­ratsspe­icherung bes­timmter von den Anbi­etern öffentlich zugänglich­er elek­tro­n­is­ch­er Kom­mu­nika­tions­di­en­ste oder den Betreibern eines öffentlichen Kom­mu­nika­tion­snet­zes erzeugter oder ver­ar­beit­eter Dat­en har­mon­isiert wer­den. Sie soll damit sich­er­stellen, dass die Dat­en zwecks Ver­hü­tung, Ermit­tlung, Fest­stel­lung und Ver­fol­gung von schw­eren Straftat­en wie organ­isiert­er Krim­i­nal­ität und Ter­ror­is­mus zur Ver­fü­gung ste­hen. Die Richtlin­ie sieht daher vor, dass die genan­nten Anbi­eter und Betreiber die Verkehrs- und Stan­dort­dat­en sowie alle damit in Zusam­men­hang ste­hen­den Dat­en, die zur Fest­stel­lung des Teil­nehmers oder Benutzers erforder­lich sind, auf Vor­rat spe­ich­ern müssen. Dage­gen ges­tat­tet sie keine Vor­ratsspe­icherung des Inhalts ein­er Nachricht und der abgerufe­nen Infor­ma­tio­nen.

In der Folge richteten sowohl der irische High Court wie auch der öster­re­ichis­che Ver­fas­sungs­gericht­shof Vor­abentschei­dungser­suchen an den Union­s­gericht­shof zu der Frage der Gültigkeit der Richtlin­ie zur Vor­rats­daten­spe­icherung. Diese Frage stellte sich dem irischen und dem öster­re­ichis­chem Gericht ins­beson­dere im Licht von zwei durch die Char­ta der Grun­drechte der Europäis­chen Union gewährleis­teten Grun­drecht­en, und zwar des Grun­drechts auf Achtung des Pri­vatlebens sowie des Grun­drechts auf Schutz per­so­n­en­be­zo­gen­er Dat­en. Der High Court hat über einen Rechtsstre­it zwis­chen der irischen Gesellschaft Dig­i­tal Rights und irischen Behör­den wegen der Recht­mäßigkeit nationaler Maß­nah­men zur Vor­ratsspe­icherung von Dat­en elek­tro­n­is­ch­er Kom­mu­nika­tionsvorgänge zu entschei­den. Der öster­re­ichis­che Ver­fas­sungs­gericht­shof ist mit mehreren ver­fas­sungsrechtlichen Ver­fahren befasst, die von der Kärnt­ner Lan­desregierung sowie von ins­ge­samt 11.130 weit­eren Antrag­stellern anhängig gemacht wur­den und auf die Nichtigerk­lärung des § 102a des öster­re­ichis­chen Telekom­mu­nika­tion­s­ge­set­zes 2003, mithin der nationalen Bes­tim­mung zur Umset­zung der Richtlin­ie in öster­re­ichis­ches Recht, gerichtet sind.

Im Wege eines solchen Vor­abentschei­dungser­suchens kön­nen die Gerichte der Mit­glied­staat­en in einem bei ihnen anhängi­gen Rechtsstre­it dem Gericht­shof der Europäis­chen Union Fra­gen nach der Ausle­gung des europäis­chen Union­srechts oder nach der Gültigkeit ein­er Hand­lung der Europäis­chen Union vor­legen. Der Union­s­gericht­shof entschei­det sodann auss­chließlich über die vorgelegte Rechts­frage, nicht hinge­gen auch über den nationalen Rechtsstre­it. Es ist und bleibt vielmehr Sache des nationalen Gerichts, über die bei ihm anhängige Rechtssache im Ein­klang mit der Entschei­dung des Union­s­gericht­shofs zu entschei­den. Diese Entschei­dung des Gericht­shofs der Europäis­chen Union bindet in gle­ich­er Weise auch alle anderen nationalen Gerichte, die mit einem ähn­lichen Prob­lem befasst wer­den.

Mit seinem jet­zt verkün­de­ten Urteil hat der Gericht­shof der Europäis­chen Union die Richtlin­ie 2006/24/EG zur Vor­rats­daten­spe­icherung für ungültig erk­lärt. Der Union­s­gericht­shof hat die zeitliche Wirkung seines Urteils nicht begren­zt. Die Ungültigerk­lärung wirkt daher zurück auf den Zeit­punkt des Inkraft­tretens der Richtlin­ie.

Der Union­s­gericht­shof stellt zunächst fest, dass den auf Vor­rat zu spe­ich­ern­den Dat­en ins­beson­dere zu ent­nehmen ist,

  1. mit welch­er Per­son ein Teil­nehmer oder reg­istri­ert­er Benutzer auf welchem Weg kom­mu­niziert hat,
  2. wie lange die Kom­mu­nika­tion gedauert hat und von welchem Ort aus sie stat­tfand und
  3. wie häu­fig der Teil­nehmer oder reg­istri­erte Benutzer während eines bes­timmten Zeitraums mit bes­timmten Per­so­n­en kom­mu­niziert hat.

Aus der Gesamtheit dieser Dat­en kön­nen sehr genaue Schlüsse auf das Pri­vatleben der Per­so­n­en, deren Dat­en auf Vor­rat gespe­ichert wer­den, gezo­gen wer­den, etwa auf Gewohn­heit­en des täglichen Lebens, ständi­ge oder vorüberge­hende Aufen­thalt­sorte, tägliche oder in anderem Rhyth­mus erfol­gende Ortsverän­derun­gen, aus­geübte Tätigkeit­en, soziale Beziehun­gen und das soziale Umfeld.

Der Gericht­shof der Europäis­chen Union sieht in der Verpflich­tung zur Vor­ratsspe­icherung dieser Dat­en und der Ges­tat­tung des Zugangs der zuständi­gen nationalen Behör­den zu ihnen einen beson­ders schw­er­wiegen­den Ein­griff der Richtlin­ie in die Grun­drechte auf Achtung des Pri­vatlebens und auf Schutz per­so­n­en­be­zo­gen­er Dat­en. Außer­dem ist der Umstand, dass die Vor­ratsspe­icherung der Dat­en und ihre spätere Nutzung vorgenom­men wer­den, ohne dass der Teil­nehmer oder der reg­istri­erte Benutzer darüber informiert wird, geeignet, bei den Betrof­fe­nen das Gefühl zu erzeu­gen, dass ihr Pri­vatleben Gegen­stand ein­er ständi­gen Überwachung ist.

Sodann prüft der Union­s­gericht­shof, ob ein solch­er Ein­griff in die fraglichen Grun­drechte gerecht­fer­tigt ist und stellt aus­drück­lich fest, dass die nach der Richtlin­ie vorgeschriebene Vor­ratsspe­icherung von Dat­en nicht geeignet ist, den Wesens­ge­halt der Grun­drechte auf Achtung des Pri­vatlebens und auf Schutz per­so­n­en­be­zo­gen­er Dat­en anzu­tas­ten. Die Richtlin­ie ges­tat­tet näm­lich nicht die Ken­nt­nis­nahme des Inhalts elek­tro­n­is­ch­er Kom­mu­nika­tion als solchen und sieht vor, dass die Dien­stean­bi­eter bzw. Net­z­be­treiber bes­timmte Grund­sätze des Daten­schutzes und der Daten­sicher­heit ein­hal­ten müssen.

Die Vor­ratsspe­icherung der Dat­en zur etwaigen Weit­er­leitung an die zuständi­gen nationalen Behör­den stellt zwar nach Ansicht des Union­s­gericht­shofs auch eine Zielset­zung dar, die dem Gemein­wohl dient, und zwar der Bekämp­fung schw­er­er Krim­i­nal­ität und somit let­ztlich der öffentlichen Sicher­heit. Der Union­s­gericht­shof kommt jedoch zu dem Ergeb­nis, dass der Union­s­ge­set­zge­ber beim Erlass der Richtlin­ie über die Vor­ratsspe­icherung von Dat­en die Gren­zen über­schrit­ten hat, die er zur Wahrung des Grund­satzes der Ver­hält­nis­mäßigkeit ein­hal­ten musste.

Hierzu betont der Union­s­gericht­shof aus, dass angesichts der beson­deren Bedeu­tung des Schutzes per­so­n­en­be­zo­gen­er Dat­en für das Grun­drecht auf Achtung des Pri­vatlebens und des Aus­maßes und der Schwere des mit der Richtlin­ie ver­bun­de­nen Ein­griffs in dieses Recht der Gestal­tungsspiel­raum des Union­s­ge­set­zge­bers eingeschränkt ist, so dass die Richtlin­ie ein­er strik­ten Kon­trolle unter­liegt.

Zwar ist die nach der Richtlin­ie vorgeschriebene Vor­ratsspe­icherung der Dat­en zur Erre­ichung des mit ihr ver­fol­gten Ziels geeignet, doch bein­hal­tet sie einen Ein­griff von großem Aus­maß und von beson­der­er Schwere in die fraglichen Grun­drechte, ohne dass sie Bes­tim­mungen enthielte, die zu gewährleis­ten ver­mö­gen, dass sich der Ein­griff tat­säch­lich auf das abso­lut Notwendi­ge beschränkt.
Erstens erstreckt sich die Richtlin­ie näm­lich generell auf sämtliche Per­so­n­en, elek­tro­n­is­che Kom­mu­nika­tion­s­mit­tel und Verkehrs­dat­en, ohne irgen­deine Dif­feren­zierung, Ein­schränkung oder Aus­nahme anhand des Ziels der Bekämp­fung schw­er­er Straftat­en vorzuse­hen.
Zweit­ens sieht die Richtlin­ie kein objek­tives Kri­teri­um vor, das es ermöglicht, den Zugang der zuständi­gen nationalen Behör­den zu den Dat­en und deren Nutzung zwecks Ver­hü­tung, Fest­stel­lung oder strafrechtlich­er Ver­fol­gung auf Straftat­en zu beschränken, die im Hin­blick auf das Aus­maß und die Schwere des Ein­griffs in die fraglichen Grun­drechte als so schw­er­wiegend ange­se­hen wer­den kön­nen, dass sie einen solchen Ein­griff recht­fer­ti­gen. Die Richtlin­ie nimmt im Gegen­teil lediglich all­ge­mein auf die von jedem Mit­glied­staat in seinem nationalen Recht bes­timmten „schw­eren Straftat­en“ Bezug. Überdies enthält die Richtlin­ie keine materiell- und ver­fahren­srechtlichen Voraus­set­zun­gen für den Zugang der zuständi­gen nationalen Behör­den zu den Dat­en und deren spätere Nutzung. Vor allem unter­liegt der Zugang zu den Dat­en kein­er vorheri­gen Kon­trolle durch ein Gericht oder eine unab­hängige Ver­wal­tungsstelle.
Drit­tens schreibt die Richtlin­ie eine Dauer der Vor­ratsspe­icherung der Dat­en von min­destens sechs Monat­en vor, ohne dass eine Unter­schei­dung zwis­chen den Datenkat­e­gorien anhand der betrof­fe­nen Per­so­n­en oder nach Maß­gabe des etwaigen Nutzens der Dat­en für das ver­fol­gte Ziel getrof­fen wird. Die Spe­icherungs­frist liegt zudem zwis­chen min­destens sechs und höch­stens 24 Monat­en, ohne dass die Richtlin­ie objek­tive Kri­te­rien fes­tlegt, die gewährleis­ten, dass die Spe­icherung auf das abso­lut Notwendi­ge beschränkt wird.

Darüber hin­aus stellt der Gericht­shof der Europäis­chen Union fest, dass die Richtlin­ie keine hin­re­ichen­den Garantien dafür bietet, dass die Dat­en wirk­sam vor Miss­brauch­srisiken sowie vor jedem unberechtigten Zugang und jed­er unberechtigten Nutzung geschützt sind. Unter anderem ges­tat­tet sie es den Dien­stean­bi­etern, bei der Bes­tim­mung des von ihnen ange­wandten Sicher­heit­sniveaus wirtschaftliche Erwä­gun­gen (ins­beson­dere hin­sichtlich der Kosten für die Durch­führung der Sicher­heits­maß­nah­men) zu berück­sichti­gen, und gewährleis­tet nicht, dass die Dat­en nach Ablauf ihrer Spe­icherungs­frist unwider­ru­flich ver­nichtet wer­den.

Und schließlich rügt Gericht­shof der Europäis­chen Union rügt, dass die Richtlin­ie keine Spe­icherung der Dat­en im Union­s­ge­bi­et vorschreibt. Sie gewährleis­tet damit nicht in vollem Umfang, dass die Ein­hal­tung der Erfordernisse des Daten­schutzes und der Daten­sicher­heit durch eine unab­hängige Stelle überwacht wird, obwohl die Char­ta dies aus­drück­lich fordert. Eine solche Überwachung auf der Grund­lage des Union­srechts ist aber ein wesentlich­er Bestandteil der Wahrung des Schutzes der Betrof­fe­nen bei der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en.

Gericht­shof der Europäis­chen Union, Urteil vom 8. April 2014 — C ‑293/12 und C ‑594/12 [Dig­i­tal Rights Ire­land und Seitlinger u. a.]

  1. ABl. L 105, S. 54 []