Keine anlasslose Vorratsdatenspeicherung

Die EU-Mit­glied­staat­en dür­fen den Betreibern elek­tro­n­is­ch­er Kom­mu­nika­tions­di­en­ste nach einem aktuellen Urteil des Gericht­shofs der Europäis­chen Union keine all­ge­meine Verpflich­tung zur Vor­rats­daten­spe­icherung aufer­legen.

Keine anlasslose Vorratsdatenspeicherung

Das europäis­che Union­srecht unter­sagt nach Ansicht des Union­s­gericht­shofs eine all­ge­meine und unter­schied­slose Vor­ratsspe­icherung von Verkehrs- und Stan­dort­dat­en.

Allerd­ings ste­ht es den Mit­glied­staat­en frei, vor­beu­gend eine gezielte Vor­ratsspe­icherung dieser Dat­en zum alleini­gen Zweck der Bekämp­fung schw­er­er Straftat­en vorzuse­hen, sofern eine solche Spe­icherung hin­sichtlich der Kat­e­gorien von zu spe­ich­ern­den Dat­en, der erfassten Kom­mu­nika­tion­s­mit­tel, der betrof­fe­nen Per­so­n­en und der vorge­se­henen Dauer der Spe­icherung auf das abso­lut Notwendi­ge beschränkt ist. Der Zugang der nationalen Behör­den zu den auf Vor­rat gespe­icherten Dat­en muss allerd­ings von Voraus­set­zun­gen abhängig gemacht wer­den, zu denen ins­beson­dere eine vorherige Kon­trolle durch eine unab­hängige Stelle und die Vor­ratsspe­icherung der Dat­en im Gebi­et der Union gehören.

Mit dem Urteil “Dig­i­tal Rights Ire­land” von 20141 hat der Union­s­gericht­shof die “Richtlin­ie 2006/24/EG des Europäis­chen Par­la­ments und des Rates vom 15. März 2006 über die Vor­ratsspe­icherung von Dat­en, die bei der Bere­it­stel­lung öffentlich zugänglich­er elek­tro­n­is­ch­er Kom­mu­nika­tions­di­en­ste oder öffentlich­er Kom­mu­nika­tion­snet­ze erzeugt oder ver­ar­beit­et wer­den, und zur Änderung der Richtlin­ie 2002/58/EG2. für ungültig erk­lärt, weil der Ein­griff in die Grun­drechte auf Achtung des Pri­vatlebens und Schutz per­so­n­en­be­zo­gen­er Dat­en durch die mit dieser Richtlin­ie vorgeschriebene all­ge­meine Verpflich­tung zur Vor­ratsspe­icherung von Verkehrs- und Stan­dort­dat­en nicht auf das abso­lut Notwendi­ge beschränkt war.

Im Anschluss an dieses Urteil ist der Gericht­shof der Europäis­chen Union mit zwei weit­eren Rechtssachen befasst wor­den, in denen es um die den Betreibern elek­tro­n­is­ch­er Kom­mu­nika­tions­di­en­ste in Schwe­den und im Vere­inigten Kön­i­gre­ich aufer­legte all­ge­meine Verpflich­tung geht, Dat­en elek­tro­n­is­ch­er Kom­mu­nika­tionsvorgänge, deren Vor­ratsspe­icherung in der für ungültig erk­lärten Richtlin­ie vorge­se­hen war, auf Vor­rat zu spe­ich­ern, und über die der Union­s­gericht­shof nun­mehr entsch­ieden hat:

  1. Am Tag nach der Verkün­dung des Urteils Dig­i­tal Rights Ire­land teilte das Telekom­mu­nika­tion­sun­ternehmen Tele2 Sverige der schwedis­chen Überwachungs­be­hörde für Post und Telekom­mu­nika­tion mit, dass es die Vor­ratsspe­icherung von Dat­en ein­stellen werde und beab­sichtige, die bere­its gespe­icherten Dat­en zu löschen3. Nach schwedis­chem Recht sind die Betreiber elek­tro­n­is­ch­er Kom­mu­nika­tions­di­en­ste näm­lich verpflichtet, sys­tem­a­tisch und kon­tinuier­lich, und dies ohne jede Aus­nahme, sämtliche Verkehrs- und Stan­dort­dat­en aller Teil­nehmer und reg­istri­erten Nutzer in Bezug auf alle elek­tro­n­is­chen Kom­mu­nika­tion­s­mit­tel zu spe­ich­ern.
  2. In der zweit­en, aus Großbri­tan­nien stam­menden Rechtssache4 klagten Herr Tom Wat­son, Herr Peter Brice und Herr Geof­frey Lewis gegen die britis­chen Regelung über die Vor­ratsspe­icherung von Dat­en, die den Innen­min­is­ter ermächtigt, die Betreiber öffentlich­er Telekom­mu­nika­tions­di­en­ste zu verpflicht­en, sämtliche Kom­mu­nika­tions­dat­en für bis zu zwölf Monate auf Vor­rat zu spe­ich­ern, wobei die Spe­icherung des Inhalts der Kom­mu­nika­tionsvorgänge aus­geschlossen ist.

Im Rah­men dieser bei­den Ver­fahren ist dem Gericht­shof der Europäis­chen Union vom Kam­mar­rätt i Stock­holm, dem Oberver­wal­tungs­gericht Stock­holm, und vom Court of Appeal (Eng­land and Wales) (Civ­il Divi­sion), dem Rechtsmit­tel­gericht­shof für Eng­land und Wales, im Wege eines Vor­abentschei­dungser­suchen die Rechts­frage vorgelegt wor­den, ob nationale Regelun­gen, die den Betreibern eine all­ge­meine Verpflich­tung zur Vor­ratsspe­icherung von Dat­en aufer­legen und den zuständi­gen nationalen Behör­den den Zugang zu den gespe­icherten Dat­en ermöglichen, ohne dass dieser Zugang auf die Zwecke der Bekämp­fung schw­er­er Straftat­en beschränkt wäre und ein­er vorheri­gen Kon­trolle durch ein Gericht oder eine unab­hängige Ver­wal­tungs­be­hörde unter­wor­fen wäre, mit dem Union­srecht – im vor­liegen­den Fall der Richtlin­ie 2002/58/EG des Europäis­chen Par­la­ments und des Rates vom 12. Juli 2002 über die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en und den Schutz der Pri­vat­sphäre in der elek­tro­n­is­chen Kom­mu­nika­tion (Daten­schutzrichtlin­ie für elek­tro­n­is­che Kom­mu­nika­tion)5 im Licht der EU-Grun­drechtechar­ta — genauer: Art. 7, 8 und 52 Abs. 1 der Char­ta der Grun­drechte der Europäis­chen Union — vere­in­bar sind.

Im Wege eines solchen Vor­abentschei­dungser­suchens kön­nen die Gerichte der EU-Mit­glied­staat­en in einem bei ihnen anhängi­gen Rechtsstre­it dem Gericht­shof der Europäis­chen Union Fra­gen nach der Ausle­gung des Union­srechts oder nach der Gültigkeit ein­er Hand­lung der Europäis­chen Union vor­legen. Der Union­s­gericht­shof entschei­det dabei nur über die vorgelegte Rechts­frage, nicht über den nationalen Rechtsstre­it. Es ist und bleibt vielmehr Sache der nationalen Gerichte, nach der Entschei­dung des Union­s­gericht­shofs über die Rechtssache im Ein­klang mit dessen Entschei­dung zu entschei­den. Die Entschei­dung des Union­s­gericht­shofs bindet in gle­ich­er Weise andere nationale Gerichte, die mit einem ähn­lichen Prob­lem befasst wer­den.

In seinem jet­zt verkün­de­ten Urteil antwortete der Union­s­gericht­shof auf die vorgelegte Rechts­frage, dass das Union­srecht ein­er nationalen Regelung ent­ge­gen­ste­ht, die eine all­ge­meine und unter­schied­slose Spe­icherung von Dat­en vor­sieht.

Der Union­s­gericht­shof bestätigt zunächst, dass die in Rede ste­hen­den nationalen Rechtsvorschriften in den Gel­tungs­bere­ich der Richtlin­ie fall­en. Denn die mit der Daten­schutzrichtlin­ie garantierte Ver­traulichkeit elek­tro­n­is­ch­er Kom­mu­nika­tio­nen und der Verkehrs­dat­en gilt für Maß­nah­men sämtlich­er ander­er Per­so­n­en als der Nutzer, unab­hängig davon, ob es sich um pri­vate Per­so­n­en oder Ein­rich­tun­gen oder um staatliche Ein­rich­tun­gen han­delt.

Sodann stellt der Gericht­shof der Europäis­chen Union fest, dass die Daten­schutzrichtlin­ie zwar den Mit­glied­staat­en erlaubt, die Trag­weite der grund­sät­zlichen Verpflich­tung, die Ver­traulichkeit der Kom­mu­nika­tion und der damit ver­bun­de­nen Verkehrs­dat­en zu gewährleis­ten, einzuschränken, sie es aber nicht zu recht­fer­ti­gen ver­mag, dass die Aus­nahme von dieser grund­sät­zlichen Verpflich­tung und ins­beson­dere von dem mit dieser Richtlin­ie aufgestell­ten Ver­bot der Spe­icherung dieser Dat­en zur Regel wird.

Der Union­s­gericht­shof weist außer­dem auf seine ständi­ge Recht­sprechung hin, wonach der Schutz des Grun­drechts auf Achtung des Pri­vatlebens ver­langt, dass sich die Aus­nah­men vom Schutz per­so­n­en­be­zo­gen­er Dat­en auf das abso­lut Notwendi­ge beschränken. Der Gericht­shof wen­det diese Recht­sprechung sowohl auf die Regeln über die Vor­rats­daten­spe­icherung als auch auf die Regeln über den Zugang zu den gespe­icherten Dat­en an.

In Bezug auf die Vor­ratsspe­icherung stellt der Union­s­gericht­shof fest, dass aus der Gesamtheit der gespe­icherten Dat­en sehr genaue Schlüsse auf das Pri­vatleben der Per­so­n­en, deren Dat­en auf Vor­rat gespe­ichert wur­den, gezo­gen wer­den kön­nen.

Der Grun­drecht­se­in­griff, der mit ein­er nationalen Regelung ein­herge­ht, die eine Spe­icherung von Verkehrs- und Stan­dort­dat­en vor­sieht, ist somit als beson­ders schw­er­wiegend anzuse­hen. Der Umstand, dass die Vor­ratsspe­icherung der Dat­en vorgenom­men wird, ohne dass die Nutzer elek­tro­n­is­ch­er Kom­mu­nika­tions­di­en­ste darüber informiert wer­den, ist geeignet, bei den Betrof­fe­nen das Gefühl zu erzeu­gen, dass ihr Pri­vatleben Gegen­stand ein­er ständi­gen Überwachung ist. Deshalb ver­mag allein die Bekämp­fung schw­er­er Straftat­en einen solchen Grun­drecht­se­in­griff zu recht­fer­ti­gen.

Der Gericht­shof der Europäis­chen Union weist darauf hin, dass eine Regelung, die eine all­ge­meine und unter­schied­slose Vor­rats­daten­spe­icherung vor­sieht, keinen Zusam­men­hang zwis­chen den Dat­en, deren Vor­ratsspe­icherung vorge­se­hen ist, und ein­er Bedro­hung der öffentlichen Sicher­heit ver­langt und sich ins­beson­dere nicht auf die Dat­en eines Zeitraums und/oder eines geografis­chen Gebi­ets und/oder eines Per­so­n­enkreis­es, der in irgen­dein­er Weise in eine schwere Straftat ver­wick­elt sein kön­nte, beschränkt. Eine solche nationale Regelung über­schre­it­et somit die Gren­zen des abso­lut Notwendi­gen und kann nicht als in ein­er demokratis­chen Gesellschaft gerecht­fer­tigt ange­se­hen wer­den, wie es die Richtlin­ie im Licht der EU-Grun­drechtechar­ta ver­langt.

Der Union­s­gericht­shof stellt jedoch klar, dass die Daten­schutzrichtlin­ie ein­er nationalen Regelung nicht ent­ge­gen­ste­ht, die zur Bekämp­fung schw­er­er Straftat­en eine gezielte Vor­ratsspe­icherung von Dat­en ermöglicht, sofern diese Vor­ratsspe­icherung hin­sichtlich der Kat­e­gorien von zu spe­ich­ern­den Dat­en, der erfassten Kom­mu­nika­tion­s­mit­tel, der betrof­fe­nen Per­so­n­en und der vorge­se­henen Spe­icherungs­dauer auf das abso­lut Notwendi­ge beschränkt ist. Dem Gericht­shof zufolge muss jede nationale Regelung, die der­ar­tiges vor­sieht, klar und präzise sein und hin­re­ichende Garantien enthal­ten, um die Dat­en vor Miss­brauch­srisiken zu schützen. Die betr­e­f­fende Regelung muss angeben, unter welchen Umstän­den und Voraus­set­zun­gen eine Maß­nahme der Vor­ratsspe­icherung von Dat­en vor­beu­gend getrof­fen wer­den darf, um so zu gewährleis­ten, dass der Umfang dieser Maß­nahme in der Prax­is tat­säch­lich auf das abso­lut Notwendi­ge beschränkt ist. Eine solche Regelung muss ins­beson­dere auf objek­tive Anknüp­fungspunk­te gestützt sein, die es ermöglichen diejeni­gen Per­so­n­en zu erfassen, deren Dat­en geeignet sind, einen Zusam­men­hang mit schw­eren Straftat­en aufzuweisen, zur Bekämp­fung schw­er­er Straftat­en beizu­tra­gen oder eine schw­er­wiegende Gefahr für die öffentliche Sicher­heit zu ver­hin­dern.

Was den Zugang der zuständi­gen nationalen Behör­den zu den gespe­icherten Dat­en bet­rifft, bekräftigt der Gericht­shof der Europäis­chen Union, dass sich die betr­e­f­fende nationale Regelung nicht darauf beschränken darf, zu ver­lan­gen, dass der Zugang einem der in der Daten­schutzrichtlin­ie genan­nten Zwecke dienen muss – auch wenn es sich bei diesem Zweck um die Bekämp­fung schw­er­er Straftat­en han­delt –, son­dern außer­dem die materiell- und ver­fahren­srechtlichen Voraus­set­zun­gen für den Zugang der zuständi­gen nationalen Behör­den zu den gespe­icherten Dat­en festzule­gen hat. Die nationale Regelung muss sich bei der Fes­tle­gung der Umstände und Voraus­set­zun­gen, unter denen den zuständi­gen nationalen Behör­den Zugang zu den Dat­en zu gewähren ist, auf objek­tive Kri­te­rien stützen. Zum Zweck der Bekämp­fung von Straftat­en darf Zugang grund­sät­zlich nur zu Dat­en von Per­so­n­en gewährt wer­den, die im Ver­dacht ste­hen, eine schwere Straftat zu pla­nen, zu bege­hen oder began­gen zu haben oder auf irgen­deine Weise in eine solche Straftat ver­wick­elt zu sein. Allerd­ings kön­nte in beson­deren Sit­u­a­tio­nen wie etwa solchen, in denen vitale Inter­essen der nationalen Sicher­heit, der Lan­desvertei­di­gung oder der öffentlichen Sicher­heit durch ter­ror­is­tis­chen Aktiv­itäten bedro­ht sind, der Zugang zu Dat­en ander­er Per­so­n­en eben­falls gewährt wer­den, wenn es objek­tive Anhalt­spunk­te dafür gibt, dass diese Dat­en im konkreten Fall einen wirk­samen Beitrag zur Bekämp­fung solch­er Aktiv­itäten leis­ten kön­nten.

Zudem ist es nach Auf­fas­sung des Union­s­gericht­shofs uner­lässlich, dass der Zugang zu den auf Vor­rat gespe­icherten Dat­en grund­sät­zlich, außer in Eil­fällen, ein­er vorheri­gen Kon­trolle entwed­er durch ein Gericht oder eine unab­hängige Stelle unter­wor­fen wird. Außer­dem müssen die zuständi­gen nationalen Behör­den, denen Zugang zu den gespe­icherten Dat­en gewährt wurde, die betrof­fe­nen Per­so­n­en davon in Ken­nt­nis set­zen.

In Anbe­tra­cht der Menge an gespe­icherten Dat­en, ihres sen­si­blen Charak­ters und der Gefahr eines unberechtigten Zugangs muss die nationale Regelung vorse­hen, dass die Dat­en im Gebi­et der Union zu spe­ich­ern sind und nach Ablauf ihrer Spe­icherungs­frist unwider­ru­flich zu ver­nicht­en sind.

Gericht­shof der Europäis­chen Union, Urteil vom 21. Dezem­ber 2016 — C ‑203/15 und C ‑698/15

  1. EuGH, Urteil vom 08.04.2014 — C‑293/12 und C‑594/12 []
  2. ABl. L 105, S. 54 []
  3. EuGH — C‑203/15 []
  4. EuGH — C‑698/15 []
  5. ABl. L 201, S. 37, in der Fas­sung des Richtlin­ie 2009/136/EG des Europäis­chen Par­la­ments und des Rates vom 25. Novem­ber 2009, ABl. L 337, S. 11 []