Vor­rats­da­ten­spei­che­rung – auf euro­pä­isch jeden­falls nicht so

Der Gerichts­hof der Euro­päi­schen Uni­on hat auf zwei Vor­ab­ent­schei­dungs­er­su­chen des öster­rei­chi­schen Ver­fas­sungs­ge­richts­hofs und des iri­schen High Courts die EU-Richt­li­nie über die Vor­rats­spei­che­rung von Daten für ungül­tig erklärt. Nach Ansicht des Euro­päi­schen Gerichts­hofs ent­hält sie einen Ein­griff von gro­ßem Aus­maß und beson­de­rer Schwe­re in die Grund­rech­te auf Ach­tung des Pri­vat­le­bens und auf den Schutz per­so­nen­be­zo­ge­ner Daten, der sich nicht auf das abso­lut Not­wen­di­ge beschränkt. Der Gerichts­hofs der Euro­päi­schen Uni­on hat damit über die Richt­li­nie zur Vor­rats­da­ten­spei­che­rung das glei­che Ver­dikt gespro­chen wie vor eini­gen Jah­ren bereits das Bun­des­ver­fas­sungs­ge­richt zu dem Gesetz, mit dem die Richt­li­nie in deut­sches Recht umge­setzt wer­den soll­te.

Vor­rats­da­ten­spei­che­rung – auf euro­pä­isch jeden­falls nicht so

Mit der "Richt­li­nie 2006/​24/​EG des Euro­päi­schen Par­la­ments und des Rates vom 15. März 2006 über die Vor­rats­spei­che­rung von Daten, die bei der Bereit­stel­lung öffent­lich zugäng­li­cher elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­diens­te oder öffent­li­cher Kom­mu­ni­ka­ti­ons­net­ze erzeugt oder ver­ar­bei­tet wer­den, und zur Ände­rung der Richt­li­nie 2002/​58/​EG" 1 sol­len in ers­ter Linie die Vor­schrif­ten der Mit­glied­staa­ten über die Vor­rats­spei­che­rung bestimm­ter von den Anbie­tern öffent­lich zugäng­li­cher elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­diens­te oder den Betrei­bern eines öffent­li­chen Kom­mu­ni­ka­ti­ons­net­zes erzeug­ter oder ver­ar­bei­te­ter Daten har­mo­ni­siert wer­den. Sie soll damit sicher­stel­len, dass die Daten zwecks Ver­hü­tung, Ermitt­lung, Fest­stel­lung und Ver­fol­gung von schwe­ren Straf­ta­ten wie orga­ni­sier­ter Kri­mi­na­li­tät und Ter­ro­ris­mus zur Ver­fü­gung ste­hen. Die Richt­li­nie sieht daher vor, dass die genann­ten Anbie­ter und Betrei­ber die Ver­kehrs- und Stand­ort­da­ten sowie alle damit in Zusam­men­hang ste­hen­den Daten, die zur Fest­stel­lung des Teil­neh­mers oder Benut­zers erfor­der­lich sind, auf Vor­rat spei­chern müs­sen. Dage­gen gestat­tet sie kei­ne Vor­rats­spei­che­rung des Inhalts einer Nach­richt und der abge­ru­fe­nen Infor­ma­tio­nen.

In der Fol­ge rich­te­ten sowohl der iri­sche High Court wie auch der öster­rei­chi­sche Ver­fas­sungs­ge­richts­hof Vor­ab­ent­schei­dungs­er­su­chen an den Uni­ons­ge­richts­hof zu der Fra­ge der Gül­tig­keit der Richt­li­nie zur Vor­rats­da­ten­spei­che­rung. Die­se Fra­ge stell­te sich dem iri­schen und dem öster­rei­chi­schem Gericht ins­be­son­de­re im Licht von zwei durch die Char­ta der Grund­rech­te der Euro­päi­schen Uni­on gewähr­leis­te­ten Grund­rech­ten, und zwar des Grund­rechts auf Ach­tung des Pri­vat­le­bens sowie des Grund­rechts auf Schutz per­so­nen­be­zo­ge­ner Daten. Der High Court hat über einen Rechts­streit zwi­schen der iri­schen Gesell­schaft Digi­tal Rights und iri­schen Behör­den wegen der Recht­mä­ßig­keit natio­na­ler Maß­nah­men zur Vor­rats­spei­che­rung von Daten elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­vor­gän­ge zu ent­schei­den. Der öster­rei­chi­sche Ver­fas­sungs­ge­richts­hof ist mit meh­re­ren ver­fas­sungs­recht­li­chen Ver­fah­ren befasst, die von der Kärnt­ner Lan­des­re­gie­rung sowie von ins­ge­samt 11.130 wei­te­ren Antrag­stel­lern anhän­gig gemacht wur­den und auf die Nich­tig­erklä­rung des § 102a des öster­rei­chi­schen Tele­kom­mu­ni­ka­ti­ons­ge­set­zes 2003, mit­hin der natio­na­len Bestim­mung zur Umset­zung der Richt­li­nie in öster­rei­chi­sches Recht, gerich­tet sind.

Im Wege eines sol­chen Vor­ab­ent­schei­dungs­er­su­chens kön­nen die Gerich­te der Mit­glied­staa­ten in einem bei ihnen anhän­gi­gen Rechts­streit dem Gerichts­hof der Euro­päi­schen Uni­on Fra­gen nach der Aus­le­gung des euro­päi­schen Uni­ons­rechts oder nach der Gül­tig­keit einer Hand­lung der Euro­päi­schen Uni­on vor­le­gen. Der Uni­ons­ge­richts­hof ent­schei­det sodann aus­schließ­lich über die vor­ge­leg­te Rechts­fra­ge, nicht hin­ge­gen auch über den natio­na­len Rechts­streit. Es ist und bleibt viel­mehr Sache des natio­na­len Gerichts, über die bei ihm anhän­gi­ge Rechts­sa­che im Ein­klang mit der Ent­schei­dung des Uni­ons­ge­richts­hofs zu ent­schei­den. Die­se Ent­schei­dung des Gerichts­hofs der Euro­päi­schen Uni­on bin­det in glei­cher Wei­se auch alle ande­ren natio­na­len Gerich­te, die mit einem ähn­li­chen Pro­blem befasst wer­den.

Mit sei­nem jetzt ver­kün­de­ten Urteil hat der Gerichts­hof der Euro­päi­schen Uni­on die Richt­li­nie 2006/​24/​EG zur Vor­rats­da­ten­spei­che­rung für ungül­tig erklärt. Der Uni­ons­ge­richts­hof hat die zeit­li­che Wir­kung sei­nes Urteils nicht begrenzt. Die Ungül­tig­erklä­rung wirkt daher zurück auf den Zeit­punkt des Inkraft­tre­tens der Richt­li­nie.

Der Uni­ons­ge­richts­hof stellt zunächst fest, dass den auf Vor­rat zu spei­chern­den Daten ins­be­son­de­re zu ent­neh­men ist,

  1. mit wel­cher Per­son ein Teil­neh­mer oder regis­trier­ter Benut­zer auf wel­chem Weg kom­mu­ni­ziert hat,
  2. wie lan­ge die Kom­mu­ni­ka­ti­on gedau­ert hat und von wel­chem Ort aus sie statt­fand und
  3. wie häu­fig der Teil­neh­mer oder regis­trier­te Benut­zer wäh­rend eines bestimm­ten Zeit­raums mit bestimm­ten Per­so­nen kom­mu­ni­ziert hat.

Aus der Gesamt­heit die­ser Daten kön­nen sehr genaue Schlüs­se auf das Pri­vat­le­ben der Per­so­nen, deren Daten auf Vor­rat gespei­chert wer­den, gezo­gen wer­den, etwa auf Gewohn­hei­ten des täg­li­chen Lebens, stän­di­ge oder vor­über­ge­hen­de Auf­ent­halts­or­te, täg­li­che oder in ande­rem Rhyth­mus erfol­gen­de Orts­ver­än­de­run­gen, aus­ge­üb­te Tätig­kei­ten, sozia­le Bezie­hun­gen und das sozia­le Umfeld.

Der Gerichts­hof der Euro­päi­schen Uni­on sieht in der Ver­pflich­tung zur Vor­rats­spei­che­rung die­ser Daten und der Gestat­tung des Zugangs der zustän­di­gen natio­na­len Behör­den zu ihnen einen beson­ders schwer­wie­gen­den Ein­griff der Richt­li­nie in die Grund­rech­te auf Ach­tung des Pri­vat­le­bens und auf Schutz per­so­nen­be­zo­ge­ner Daten. Außer­dem ist der Umstand, dass die Vor­rats­spei­che­rung der Daten und ihre spä­te­re Nut­zung vor­ge­nom­men wer­den, ohne dass der Teil­neh­mer oder der regis­trier­te Benut­zer dar­über infor­miert wird, geeig­net, bei den Betrof­fe­nen das Gefühl zu erzeu­gen, dass ihr Pri­vat­le­ben Gegen­stand einer stän­di­gen Über­wa­chung ist.

Sodann prüft der Uni­ons­ge­richts­hof, ob ein sol­cher Ein­griff in die frag­li­chen Grund­rech­te gerecht­fer­tigt ist und stellt aus­drück­lich fest, dass die nach der Richt­li­nie vor­ge­schrie­be­ne Vor­rats­spei­che­rung von Daten nicht geeig­net ist, den Wesens­ge­halt der Grund­rech­te auf Ach­tung des Pri­vat­le­bens und auf Schutz per­so­nen­be­zo­ge­ner Daten anzu­tas­ten. Die Richt­li­nie gestat­tet näm­lich nicht die Kennt­nis­nah­me des Inhalts elek­tro­ni­scher Kom­mu­ni­ka­ti­on als sol­chen und sieht vor, dass die Diens­te­an­bie­ter bzw. Netz­be­trei­ber bestimm­te Grund­sät­ze des Daten­schut­zes und der Daten­si­cher­heit ein­hal­ten müs­sen.

Die Vor­rats­spei­che­rung der Daten zur etwai­gen Wei­ter­lei­tung an die zustän­di­gen natio­na­len Behör­den stellt zwar nach Ansicht des Uni­ons­ge­richts­hofs auch eine Ziel­set­zung dar, die dem Gemein­wohl dient, und zwar der Bekämp­fung schwe­rer Kri­mi­na­li­tät und somit letzt­lich der öffent­li­chen Sicher­heit. Der Uni­ons­ge­richts­hof kommt jedoch zu dem Ergeb­nis, dass der Uni­ons­ge­setz­ge­ber beim Erlass der Richt­li­nie über die Vor­rats­spei­che­rung von Daten die Gren­zen über­schrit­ten hat, die er zur Wah­rung des Grund­sat­zes der Ver­hält­nis­mä­ßig­keit ein­hal­ten muss­te.

Hier­zu betont der Uni­ons­ge­richts­hof aus, dass ange­sichts der beson­de­ren Bedeu­tung des Schut­zes per­so­nen­be­zo­ge­ner Daten für das Grund­recht auf Ach­tung des Pri­vat­le­bens und des Aus­ma­ßes und der Schwe­re des mit der Richt­li­nie ver­bun­de­nen Ein­griffs in die­ses Recht der Gestal­tungs­spiel­raum des Uni­ons­ge­setz­ge­bers ein­ge­schränkt ist, so dass die Richt­li­nie einer strik­ten Kon­trol­le unter­liegt.

Zwar ist die nach der Richt­li­nie vor­ge­schrie­be­ne Vor­rats­spei­che­rung der Daten zur Errei­chung des mit ihr ver­folg­ten Ziels geeig­net, doch beinhal­tet sie einen Ein­griff von gro­ßem Aus­maß und von beson­de­rer Schwe­re in die frag­li­chen Grund­rech­te, ohne dass sie Bestim­mun­gen ent­hiel­te, die zu gewähr­leis­ten ver­mö­gen, dass sich der Ein­griff tat­säch­lich auf das abso­lut Not­wen­di­ge beschränkt.
Ers­tens erstreckt sich die Richt­li­nie näm­lich gene­rell auf sämt­li­che Per­so­nen, elek­tro­ni­sche Kom­mu­ni­ka­ti­ons­mit­tel und Ver­kehrs­da­ten, ohne irgend­ei­ne Dif­fe­ren­zie­rung, Ein­schrän­kung oder Aus­nah­me anhand des Ziels der Bekämp­fung schwe­rer Straf­ta­ten vor­zu­se­hen.
Zwei­tens sieht die Richt­li­nie kein objek­ti­ves Kri­te­ri­um vor, das es ermög­licht, den Zugang der zustän­di­gen natio­na­len Behör­den zu den Daten und deren Nut­zung zwecks Ver­hü­tung, Fest­stel­lung oder straf­recht­li­cher Ver­fol­gung auf Straf­ta­ten zu beschrän­ken, die im Hin­blick auf das Aus­maß und die Schwe­re des Ein­griffs in die frag­li­chen Grund­rech­te als so schwer­wie­gend ange­se­hen wer­den kön­nen, dass sie einen sol­chen Ein­griff recht­fer­ti­gen. Die Richt­li­nie nimmt im Gegen­teil ledig­lich all­ge­mein auf die von jedem Mit­glied­staat in sei­nem natio­na­len Recht bestimm­ten „schwe­ren Straf­ta­ten“ Bezug. Über­dies ent­hält die Richt­li­nie kei­ne mate­ri­ell- und ver­fah­rens­recht­li­chen Vor­aus­set­zun­gen für den Zugang der zustän­di­gen natio­na­len Behör­den zu den Daten und deren spä­te­re Nut­zung. Vor allem unter­liegt der Zugang zu den Daten kei­ner vor­he­ri­gen Kon­trol­le durch ein Gericht oder eine unab­hän­gi­ge Ver­wal­tungs­stel­le.
Drit­tens schreibt die Richt­li­nie eine Dau­er der Vor­rats­spei­che­rung der Daten von min­des­tens sechs Mona­ten vor, ohne dass eine Unter­schei­dung zwi­schen den Daten­ka­te­go­ri­en anhand der betrof­fe­nen Per­so­nen oder nach Maß­ga­be des etwai­gen Nut­zens der Daten für das ver­folg­te Ziel getrof­fen wird. Die Spei­che­rungs­frist liegt zudem zwi­schen min­des­tens sechs und höchs­tens 24 Mona­ten, ohne dass die Richt­li­nie objek­ti­ve Kri­te­ri­en fest­legt, die gewähr­leis­ten, dass die Spei­che­rung auf das abso­lut Not­wen­di­ge beschränkt wird.

Dar­über hin­aus stellt der Gerichts­hof der Euro­päi­schen Uni­on fest, dass die Richt­li­nie kei­ne hin­rei­chen­den Garan­ti­en dafür bie­tet, dass die Daten wirk­sam vor Miss­brauchs­ri­si­ken sowie vor jedem unbe­rech­tig­ten Zugang und jeder unbe­rech­tig­ten Nut­zung geschützt sind. Unter ande­rem gestat­tet sie es den Diens­te­an­bie­tern, bei der Bestim­mung des von ihnen ange­wand­ten Sicher­heits­ni­veaus wirt­schaft­li­che Erwä­gun­gen (ins­be­son­de­re hin­sicht­lich der Kos­ten für die Durch­füh­rung der Sicher­heits­maß­nah­men) zu berück­sich­ti­gen, und gewähr­leis­tet nicht, dass die Daten nach Ablauf ihrer Spei­che­rungs­frist unwi­der­ruf­lich ver­nich­tet wer­den.

Und schließ­lich rügt Gerichts­hof der Euro­päi­schen Uni­on rügt, dass die Richt­li­nie kei­ne Spei­che­rung der Daten im Uni­ons­ge­biet vor­schreibt. Sie gewähr­leis­tet damit nicht in vol­lem Umfang, dass die Ein­hal­tung der Erfor­der­nis­se des Daten­schut­zes und der Daten­si­cher­heit durch eine unab­hän­gi­ge Stel­le über­wacht wird, obwohl die Char­ta dies aus­drück­lich for­dert. Eine sol­che Über­wa­chung auf der Grund­la­ge des Uni­ons­rechts ist aber ein wesent­li­cher Bestand­teil der Wah­rung des Schut­zes der Betrof­fe­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten.

Gerichts­hof der Euro­päi­schen Uni­on, Urteil vom 8. April 2014 – C ‑293/​12 und C ‑594/​12 [Digi­tal Rights Ire­land und Seit­lin­ger u. a.]

  1. ABl. L 105, S. 54[]