Vor­rats­da­ten­spei­che­rung und das EU-Recht

Die natio­na­le Gesetz­ge­bung, wonach ein Anbie­ter von elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­diens­ten die all­ge­mei­ne und wahl­lo­se Über­mitt­lung oder Spei­che­rung von Ver­kehrs­da­ten und Stand­ort­da­ten (Vor­rats­da­ten­spei­che­rung) zum Zwe­cke der Ver­bre­chens­be­kämp­fung im All­ge­mei­nen oder zur Wah­rung der natio­na­len Sicher­heit durch­füh­ren darf, ist nicht mit dem EU-Recht ver­ein­bar.

Vor­rats­da­ten­spei­che­rung und das EU-Recht

Aller­dings ist es den Mit­glieds­staa­ten in bestimm­ten Situa­tio­nen erlaubt, eine all­ge­mei­ne Daten­spei­che­rung vor­zu­neh­men. So kann im Fall einer ernst­haf­ten Bedro­hung der natio­na­len Sicher­heit durch gesetz­ge­be­ri­sche Maß­nah­men eine Daten­spei­che­rung vor­ge­nom­men wer­den, wenn die­se auf den Zeit­raum begrenzt ist, der unbe­dingt erfor­der­lich ist. Dabei darf der Zeit­raum ver­län­gert wer­den, wenn die Bedro­hung wei­ter­hin besteht. In Bezug auf die Bekämp­fung schwe­rer Straf­ta­ten und die Ver­hin­de­rung schwer­wie­gen­der Bedro­hun­gen der öffent­li­chen Sicher­heit kann ein Mit­glied­staat auch die geziel­te und beschleu­nig­te Auf­be­wah­rung die­ser Daten vor­se­hen. Ein sol­cher Ein­griff in die Grund­rech­te muss mit wirk­sa­men Schutz­maß­nah­men ein­her­ge­hen und von einem Gericht oder einer unab­hän­gi­gen Ver­wal­tungs­be­hör­de über­prüft wer­den. Eben­so steht es einem Mit­glied­staat frei, eine all­ge­mei­ne und wahl­lo­se Auf­be­wah­rung von IP-Adres­sen vor­zu­neh­men, die der Kom­mu­ni­ka­ti­ons­quel­le zuge­ord­net sind, wobei die Auf­be­wah­rungs­frist auf das unbe­dingt Not­wen­di­ge beschränkt ist, oder sogar eine all­ge­mei­ne und wahl­lo­se Auf­be­wah­rung von Daten in Bezug auf die bür­ger­li­che Iden­ti­tät von Nut­zern von elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­mit­teln. Wobei im letz­ten Fall die Auf­be­wah­rung kei­ner bestimm­ten zeit­li­chen Begren­zung unter­liegt.

So hat der Gerichts­hof der Euro­päi­schen Uni­on in den hier vor­lie­gen­den Fäl­len ent­schie­den. Danach ist zwar wei­ter­hin grund­sätz­lich die all­ge­mei­ne und wahl­lo­se Vor­rats­da­ten­spei­che­rung ver­bo­ten, aber der Gerichts­hof hat eini­ge Aus­nah­men erlaubt und die­se näher erläu­tert.

Zu die­ser Beur­tei­lung der Rechts­la­ge ist es auf­grund meh­re­rer Vor­ab­ent­schei­dungs­er­su­chen aus ver­schie­de­nen Mit­glied­staa­ten der Euro­päi­schen Uni­on gekom­men. Sowohl aus dem Ver­ei­nig­ten König­reich (Inves­ti­ga­to­ry Powers Tri­bu­nal, C‑623/​17, Pri­va­cy Inter­na­tio­nal), vom Staats­rat in Frank­reich (Respon­sil d’É­tat, C‑511/​18 und C‑512/​18, La Qua­dra­tu­re du Net und ande­re, Joi­ned Cases) und vom Ver­fas­sungs­ge­richt in Bel­gi­en (Cour Con­sti­tu­ti­on­nel­le, C‑520/​18, Ord­re des Bar­reaux Fran­co­pho­nes et Ger­ma­no­pho­ne und ande­re) sind Fra­gen an den Gerichts­hof der Euro­päi­schen Uni­on gestellt wor­den. In allen Fäl­len geht es um die Rechts­wid­rig­keit von Rechts­vor­schrif­ten, die von bestimm­ten Mit­glied­staa­ten in die­sen Berei­chen erlas­sen wur­den, ins­be­son­de­re für Anbie­ter von elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­diens­ten, um die Ver­kehrs­da­ten und Stand­ort­da­ten der Benut­zer an eine Behör­de wei­ter­zu­lei­ten oder die­se Daten all­ge­mein oder wahl­los auf­zu­be­wah­ren.

In sei­ner Urteils­be­grün­dung hat der Gerichts­hof der Euro­päi­schen Uni­on aus­ge­führt, dass die Richt­li­nie über Daten­schutz und elek­tro­ni­sche Kom­mu­ni­ka­ti­on auf die natio­na­le Gesetz­ge­bung anwend­bar ist, nach der Anbie­ter elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­diens­te ver­pflich­tet sind, per­so­nen­be­zo­ge­ne Daten­ver­ar­bei­tungs­vor­gän­ge durch­zu­füh­ren, z. B. die Wei­ter­ga­be an Behör­den oder deren Auf­be­wah­rung zum Zwe­cke der Wah­rung der natio­na­len Sicher­heit und der Ver­bre­chens­be­kämp­fung. Wäh­rend der Gerichts­hof aber einer­seits sei­ne bis­he­ri­ge Recht­spre­chung bezüg­lich der Unver­hält­nis­mä­ßig­keit der pau­scha­len Vor­rats­da­ten­spei­che­rung bestä­tigt, stellt er nun ande­rer­seits klar, in wel­chem Umfang den Mit­glied­staa­ten den­noch im Ein­klang mit den Richt­li­ni­en der EU eine Daten­spei­che­rung für die oben genann­ten Zwe­cke mög­lich ist:

Zunächst bemüht sich der Gerichts­hof der Euro­päi­schen Uni­on, die Zwei­fel an der Anwend­bar­keit der in den vor­lie­gen­den Rechts­sa­chen erho­be­nen Daten­schutz­be­stim­mun­gen und der elek­tro­ni­schen Kom­mu­ni­ka­ti­on aus­zu­räu­men. Meh­re­re Mit­glieds­staa­ten, die dem Gericht schrift­li­che Bemer­kun­gen vor­leg­ten, äußer­ten dies­be­züg­lich unter­schied­li­che Mei­nun­gen. Sie mach­ten unter ande­rem gel­tend, dass die Richt­li­nie nicht auf die frag­li­chen natio­na­len Rechts­vor­schrif­ten anwend­bar sei, da der Zweck die­ser Rechts­vor­schrif­ten dar­in bestehe, die natio­na­le Sicher­heit zu gewähr­leis­ten, für die die Mit­glied­staa­ten allein ver­ant­wort­lich sind, was ins­be­son­de­re durch den drit­ten Satz bestä­tigt wird von Arti­kel 4 Absatz 2 EUV. Der Gerichts­hof ist jedoch der Ansicht, dass die natio­na­le Gesetz­ge­bung, wonach Anbie­ter elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­diens­te Ver­kehrs­da­ten und Stand­ort­da­ten auf­be­wah­ren oder die­se Daten zu die­sem Zweck an die natio­na­len Sicher­heits- und Geheim­dienst­be­hör­den wei­ter­lei­ten müs­sen, in den Gel­tungs­be­reich die­ser Richt­li­nie fällt. Der Gerichts­hof weist dar­auf hin, dass die Richt­li­nie über Daten­schutz und elek­tro­ni­sche Kom­mu­ni­ka­ti­on kei­ne Aus­nah­me zulässt: Die Ver­pflich­tung, die Ver­trau­lich­keit der elek­tro­ni­schen Kom­mu­ni­ka­ti­on und der damit ver­bun­de­nen Daten zu gewähr­leis­ten, und das Ver­bot der Spei­che­rung sol­cher Daten ist grund­sätz­lich zu befol­gen. Dies bedeu­tet, dass die Direk­ti­ven die Mit­glied­staa­ten nicht ermäch­ti­gen, unter ande­rem zum Zwe­cke der natio­na­len Sicher­heit gesetz­li­che Maß­nah­men zu ergrei­fen, um den Umfang der in die­ser Richt­li­nie vor­ge­se­he­nen Rech­te und Pflich­ten ein­zu­schrän­ken, ins­be­son­de­re die Ver­pflich­tung zur Gewähr­leis­tung der Ver­trau­lich­keit von Mit­tei­lun­gen und Ver­kehrs­da­ten, es sei denn, die­se Maß­nah­men ent­spre­chen den all­ge­mei­nen Grund­sät­zen des EU-Rechts, ein­schließ­lich des Grund­sat­zes der Ver­hält­nis­mä­ßig­keit, und den durch die Char­ta garan­tier­ten Grund­rech­ten.

In die­sem Zusam­men­hang ver­tritt der Gerichts­hof zunächst im Fall Pri­va­cy Inter­na­tio­nal die Auf­fas­sung, dass die Richt­li­nie zum Daten­schutz und zur elek­tro­ni­schen Kom­mu­ni­ka­ti­on, die im Lich­te der Grund­rech­te­Char­ta gele­sen wird, eine natio­na­le Gesetz­ge­bung aus­schließt, die Anbie­ter von Diens­ten für die elek­tro­ni­sche Kom­mu­ni­ka­ti­on erfor­dert, um die all­ge­mei­ne und wahl­lo­se Über­mitt­lung von Ver­kehrs­da­ten und Stand­ort­da­ten an die Sicher­heit und den Geheim­dienst durch­zu­füh­ren Agen­tu­ren zum Schutz der natio­na­len Sicher­heit. Zwei­tens stellt der Gerichts­hof in den ver­bun­de­nen Fäl­len La Qua­dra­tu­re du Net und ande­re sowie in Ord­re des Bar­reaux Fran­co­pho­nes et Ger­ma­no­pho­ne und ande­ren fest, dass die Richt­li­nie gesetz­ge­be­ri­sche Maß­nah­men aus­schließt, nach denen Anbie­ter elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­diens­te die all­ge­mei­ne und wahl­lo­se Auf­be­wah­rung von Ver­kehrs­da­ten und Stand­ort­da­ten als vor­beu­gen­de Maß­nah­me durch­füh­ren müs­sen. Die­se Ver­pflich­tung, sol­che Daten all­ge­mein und wahl­los wei­ter­zu­lei­ten und auf­zu­be­wah­ren, stellt einen beson­ders schwer­wie­gen­den Ein­griff in die von der Char­ta garan­tier­ten Grund­rech­te dar, wenn kein Zusam­men­hang zwi­schen dem Ver­hal­ten der Per­so­nen besteht, deren Daten betrof­fen sind, und dem Ziel, das durch die frag­li­chen Rechts­vor­schrif­ten ver­folgt wird.

In ähn­li­cher Wei­se inter­pre­tiert der Uni­ons­ge­richts­hof Arti­kel 23 Absatz 1 der All­ge­mei­nen Daten­schutz­ver­ord­nung [1], der im Lich­te der Char­ta gele­sen wird, als Aus­schluss einer natio­na­len Gesetz­ge­bung, die Anbie­ter von Zugang zu öffent­li­chen Online-Kom­mu­ni­ka­ti­ons­diens­ten und Hos­ting-Dienst­leis­tern ver­pflich­tet, unter ande­rem per­so­nen­be­zo­ge­ne Daten in Bezug auf die­se Diens­te all­ge­mein und wahl­los zu spei­chern.

Im Gegen­satz dazu stellt der Gerichts­hof fest, dass in Situa­tio­nen, in denen der betref­fen­de Mit­glied­staat einer ernst­haf­ten Bedro­hung der natio­na­len Sicher­heit aus­ge­setzt ist, die sich als echt und gegen­wär­tig oder vor­her­seh­bar erweist, die im Lich­te der Char­ta gele­se­ne Richt­li­nie über Daten­schutz und elek­tro­ni­sche Kom­mu­ni­ka­ti­on nicht den Rück­griff auf eine Anord­nung aus­schließt, nach der Anbie­ter elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­diens­te Ver­kehrs­da­ten und Stand­ort­da­ten all­ge­mein und wahl­los auf­be­wah­ren müs­sen. In die­sem Zusam­men­hang legt der Gerichts­hof fest, dass die Ent­schei­dung, mit der eine sol­che Anord­nung für einen Zeit­raum erlas­sen wird, der zeit­lich auf das unbe­dingt Not­wen­di­ge begrenzt ist, ent­we­der von einem Gericht oder von einer unab­hän­gi­gen Ver­wal­tungs­stel­le, deren Ent­schei­dung bin­dend ist, einer wirk­sa­men Über­prü­fung unter­zo­gen wer­den muss. Unter die­sen Umstän­den schließt die­se Richt­li­nie auch nicht die auto­ma­ti­sier­te Ana­ly­se der Daten, unter ande­rem Ver­kehrs- und Stand­ort­da­ten, aller Nut­zer elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­mit­tel aus.

Wei­ter fügt der Gerichts­hof der Euro­päi­schen Uni­on hin­zu, dass die Richt­li­nie über Daten­schutz und elek­tro­ni­sche Kom­mu­ni­ka­ti­on gesetz­ge­be­ri­sche Maß­nah­men nicht aus­schließt, die den Rück­griff auf die geziel­te zeit­lich begrenz­te Auf­be­wah­rung von Ver­kehrs- und Stand­ort­da­ten ermög­li­chen, die begrenzt sind auf der Grund­la­ge objek­ti­ver und nicht-dis­kri­mi­nie­ren­der Fak­to­ren oder unter Ver­wen­dung einer geo­gra­fi­schen Gren­ze.

Eben­so schließt die­se Richt­li­nie gesetz­ge­be­ri­sche Maß­nah­men nicht aus, die die all­ge­mei­ne und wahl­lo­se Auf­be­wah­rung von IP-Adres­sen vor­se­hen, die dem Absen­der einer Mit­tei­lung zuge­wie­sen sind, vor­aus­ge­setzt, die Auf­be­wah­rungs­frist ist auf das beschränkt, was unbe­dingt erfor­der­lich ist, oder Maß­nah­men, die eine sol­che Auf­be­wah­rung von Daten vor­se­hen in Bezug auf die zivi­le Iden­ti­tät der Nut­zer elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­mit­tel. Wobei die Mit­glied­staa­ten im letz­te­ren Fall nicht ver­pflich­tet sind, die Auf­be­wah­rungs­frist zu begren­zen. Dar­über hin­aus schließt die­se Richt­li­nie eine gesetz­ge­be­ri­sche Maß­nah­me nicht aus, die den Rück­griff auf die beschleu­nig­te Auf­be­wah­rung von Daten ermög­licht, die Dienst­leis­tern zur Ver­fü­gung ste­hen, wenn Situa­tio­nen auf­tre­ten, in denen es erfor­der­lich wird, die­se Daten über die gesetz­li­chen Auf­be­wah­rungs­fris­ten hin­aus auf­zu­be­wah­ren, um schwer­wie­gen­de Straf­ta­ten zu beleuch­ten oder Angrif­fe auf die natio­na­le Sicher­heit, wenn sol­che Straf­ta­ten oder Angrif­fe bereits fest­ge­stellt wur­den oder wenn ihre Exis­tenz ver­nünf­ti­ger­wei­se ver­mu­tet wer­den kann.

Dar­über hin­aus ent­schei­det der Gerichts­hof, dass die Richt­li­nie über Daten­schutz und elek­tro­ni­sche Kom­mu­ni­ka­ti­on die natio­na­len Rechts­vor­schrif­ten nicht aus­schließt, wonach Anbie­ter elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­diens­te unter ande­rem auf die Echt­zeit­er­fas­sung von Ver­kehrs­da­ten zurück­grei­fen müs­sen und Stand­ort­da­ten, bei denen die­se Erhe­bung auf Per­so­nen beschränkt ist, bei denen ein trif­ti­ger Grund zu der Annah­me besteht, dass sie auf die eine oder ande­re Wei­se an ter­ro­ris­ti­schen Akti­vi­tä­ten betei­ligt sind. Außer­dem ist sicher­zu­stel­len, dass eine sol­che Echt­zeit­er­fas­sung nur im Rah­men des unbe­dingt Erfor­der­li­chen zuläs­sig ist. In drin­gen­den Fäl­len muss die Über­prü­fung unver­züg­lich erfol­gen.

Schließ­lich befasst sich der Gerichts­hof der Euro­päi­schen Uni­on mit der Fra­ge der Auf­recht­erhal­tung der zeit­li­chen Aus­wir­kun­gen der natio­na­len Rechts­vor­schrif­ten, die als mit dem EU-Recht unver­ein­bar ange­se­hen wer­den: In die­sem Zusam­men­hang regelt es, dass ein natio­na­les Gericht eine Bestim­mung des natio­na­len Rechts nicht anwen­den darf, die es befugt, die zeit­li­chen Aus­wir­kun­gen einer Rechts­wid­rig­keits­er­klä­rung zu begren­zen, die es in Bezug auf die natio­na­le Gesetz­ge­bung, die den Anbie­tern elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­diens­te auf­er­legt wer­den.

Um dem vor­le­gen­den Gericht eine nütz­li­che Ant­wort zu geben, erin­nert der Gerichts­hof jedoch dar­an, dass es nach gel­ten­dem EU-Recht allein Sache des natio­na­len Rechts ist, die Regeln für die Zuläs­sig­keit und Beur­tei­lung in Straf­ver­fah­ren gegen das Gericht fest­zu­le­gen Per­so­nen, die im Ver­dacht ste­hen, schwe­re Straf­ta­ten began­gen zu haben, sowie Infor­ma­tio­nen und Bewei­se, die durch die Auf­be­wah­rung von Daten unter Ver­stoß gegen EU-Recht erhal­ten wur­den. Der Gerichts­hof stellt jedoch fest, dass die Richt­li­nie zum Daten­schutz und zur elek­tro­ni­schen Kom­mu­ni­ka­ti­on, die nach dem Grund­satz der Wirk­sam­keit aus­ge­legt wird, die natio­na­len Straf­ge­rich­te dazu ver­pflich­tet, Infor­ma­tio­nen und Bewei­se, die durch die all­ge­mei­ne und wahl­lo­se Auf­be­wah­rung von Ver­kehrs- und Stand­ort­da­ten unter Ver­stoß gegen EU-Recht im Rah­men eines sol­chen Straf­ver­fah­rens erlangt wur­den, zu igno­rie­ren, wenn Per­so­nen, die im Ver­dacht ste­hen, Straf­ta­ten began­gen zu haben, nicht in der Lage sind, zu die­sen Infor­ma­tio­nen und Bewei­se wirk­sam Stel­lung zu neh­men.

Gerichts­hof der Euro­päi­schen Uni­on, Urteil vom 6. Okto­ber 2020 – C‑623/​17 sowie C‑511/​18, C‑512/​18 und C‑520/​18

Vorratsdatenspeicherung und das EU-Recht
  1. Ver­ord­nung (EU) 2016/​679 des Euro­päi­schen Par­la­ments und des Rates vom 27. April 2016 über den Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und über den frei­en Daten­ver­kehr sowie die Auf­he­bung der Richt­li­nie 95/​46 /​EG (All­ge­mei­ne Daten­schutz­ver­ord­nung) (ABl. 2016 L 119, S. 1).[]