Vor­rats­da­ten­spei­che­rung in der EU

Die EU-Mit­glied­staa­ten dür­fen den Betrei­bern elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­diens­te nach einem aktu­el­len Urteil des Gerichts­hofs der Euro­päi­schen Uni­on kei­ne all­ge­mei­ne Ver­pflich­tung zur Vor­rats­da­ten­spei­che­rung auf­er­le­gen.

Vor­rats­da­ten­spei­che­rung in der EU

Das euro­päi­sche Uni­ons­recht unter­sagt nach Ansicht des Uni­ons­ge­richts­hofs eine all­ge­mei­ne und unter­schieds­lo­se Vor­rats­spei­che­rung von Ver­kehrs- und Stand­ort­da­ten.

Aller­dings steht es den Mit­glied­staa­ten frei, vor­beu­gend eine geziel­te Vor­rats­spei­che­rung die­ser Daten zum allei­ni­gen Zweck der Bekämp­fung schwe­rer Straf­ta­ten vor­zu­se­hen, sofern eine sol­che Spei­che­rung hin­sicht­lich der Kate­go­ri­en von zu spei­chern­den Daten, der erfass­ten Kom­mu­ni­ka­ti­ons­mit­tel, der betrof­fe­nen Per­so­nen und der vor­ge­se­he­nen Dau­er der Spei­che­rung auf das abso­lut Not­wen­di­ge beschränkt ist. Der Zugang der natio­na­len Behör­den zu den auf Vor­rat gespei­cher­ten Daten muss aller­dings von Vor­aus­set­zun­gen abhän­gig gemacht wer­den, zu denen ins­be­son­de­re eine vor­he­ri­ge Kon­trol­le durch eine unab­hän­gi­ge Stel­le und die Vor­rats­spei­che­rung der Daten im Gebiet der Uni­on gehö­ren.

Mit dem Urteil "Digi­tal Rights Ire­land" von 2014 1 hat der Uni­ons­ge­richts­hof die "Richt­li­nie 2006/​24/​EG des Euro­päi­schen Par­la­ments und des Rates vom 15. März 2006 über die Vor­rats­spei­che­rung von Daten, die bei der Bereit­stel­lung öffent­lich zugäng­li­cher elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­diens­te oder öffent­li­cher Kom­mu­ni­ka­ti­ons­net­ze erzeugt oder ver­ar­bei­tet wer­den, und zur Ände­rung der Richt­li­nie 2002/​58/​EG" 2. für ungül­tig erklärt, weil der Ein­griff in die Grund­rech­te auf Ach­tung des Pri­vat­le­bens und Schutz per­so­nen­be­zo­ge­ner Daten durch die mit die­ser Richt­li­nie vor­ge­schrie­be­ne all­ge­mei­ne Ver­pflich­tung zur Vor­rats­spei­che­rung von Ver­kehrs- und Stand­ort­da­ten nicht auf das abso­lut Not­wen­di­ge beschränkt war.

Im Anschluss an die­ses Urteil ist der Gerichts­hof der Euro­päi­schen Uni­on mit zwei wei­te­ren Rechts­sa­chen befasst wor­den, in denen es um die den Betrei­bern elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­diens­te in Schwe­den und im Ver­ei­nig­ten König­reich auf­er­leg­te all­ge­mei­ne Ver­pflich­tung geht, Daten elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­vor­gän­ge, deren Vor­rats­spei­che­rung in der für ungül­tig erklär­ten Richt­li­nie vor­ge­se­hen war, auf Vor­rat zu spei­chern, und über die der Uni­ons­ge­richts­hof nun­mehr ent­schie­den hat:

  1. Am Tag nach der Ver­kün­dung des Urteils Digi­tal Rights Ire­land teil­te das Tele­kom­mu­ni­ka­ti­ons­un­ter­neh­men Tele2 Sve­ri­ge der schwe­di­schen Über­wa­chungs­be­hör­de für Post und Tele­kom­mu­ni­ka­ti­on mit, dass es die Vor­rats­spei­che­rung von Daten ein­stel­len wer­de und beab­sich­ti­ge, die bereits gespei­cher­ten Daten zu löschen 3. Nach schwe­di­schem Recht sind die Betrei­ber elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­diens­te näm­lich ver­pflich­tet, sys­te­ma­tisch und kon­ti­nu­ier­lich, und dies ohne jede Aus­nah­me, sämt­li­che Ver­kehrs- und Stand­ort­da­ten aller Teil­neh­mer und regis­trier­ten Nut­zer in Bezug auf alle elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­mit­tel zu spei­chern.
  2. In der zwei­ten, aus Groß­bri­tan­ni­en stam­men­den Rechts­sa­che 4 klag­ten Herr Tom Wat­son, Herr Peter Bri­ce und Herr Geoff­rey Lewis gegen die bri­ti­schen Rege­lung über die Vor­rats­spei­che­rung von Daten, die den Innen­mi­nis­ter ermäch­tigt, die Betrei­ber öffent­li­cher Tele­kom­mu­ni­ka­ti­ons­diens­te zu ver­pflich­ten, sämt­li­che Kom­mu­ni­ka­ti­ons­da­ten für bis zu zwölf Mona­te auf Vor­rat zu spei­chern, wobei die Spei­che­rung des Inhalts der Kom­mu­ni­ka­ti­ons­vor­gän­ge aus­ge­schlos­sen ist.

Im Rah­men die­ser bei­den Ver­fah­ren ist dem Gerichts­hof der Euro­päi­schen Uni­on vom Kammar­rätt i Stock­holm, dem Ober­ver­wal­tungs­ge­richt Stock­holm, und vom Court of Appeal (Eng­land and Wales) (Civil Divi­si­on), dem Rechts­mit­tel­ge­richts­hof für Eng­land und Wales, im Wege eines Vor­ab­ent­schei­dungs­er­su­chen die Rechts­fra­ge vor­ge­legt wor­den, ob natio­na­le Rege­lun­gen, die den Betrei­bern eine all­ge­mei­ne Ver­pflich­tung zur Vor­rats­spei­che­rung von Daten auf­er­le­gen und den zustän­di­gen natio­na­len Behör­den den Zugang zu den gespei­cher­ten Daten ermög­li­chen, ohne dass die­ser Zugang auf die Zwe­cke der Bekämp­fung schwe­rer Straf­ta­ten beschränkt wäre und einer vor­he­ri­gen Kon­trol­le durch ein Gericht oder eine unab­hän­gi­ge Ver­wal­tungs­be­hör­de unter­wor­fen wäre, mit dem Uni­ons­recht – im vor­lie­gen­den Fall der Richt­li­nie 2002/​58/​EG des Euro­päi­schen Par­la­ments und des Rates vom 12. Juli 2002 über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und den Schutz der Pri­vat­sphä­re in der elek­tro­ni­schen Kom­mu­ni­ka­ti­on (Daten­schutz­richt­li­nie für elek­tro­ni­sche Kom­mu­ni­ka­ti­on) 5 im Licht der EU-Grund­rech­te­char­ta – genau­er: Art. 7, 8 und 52 Abs. 1 der Char­ta der Grund­rech­te der Euro­päi­schen Uni­on – ver­ein­bar sind.

Im Wege eines sol­chen Vor­ab­ent­schei­dungs­er­su­chens kön­nen die Gerich­te der EU-Mit­glied­staa­ten in einem bei ihnen anhän­gi­gen Rechts­streit dem Gerichts­hof der Euro­päi­schen Uni­on Fra­gen nach der Aus­le­gung des Uni­ons­rechts oder nach der Gül­tig­keit einer Hand­lung der Euro­päi­schen Uni­on vor­le­gen. Der Uni­ons­ge­richts­hof ent­schei­det dabei nur über die vor­ge­leg­te Rechts­fra­ge, nicht über den natio­na­len Rechts­streit. Es ist und bleibt viel­mehr Sache der natio­na­len Gerich­te, nach der Ent­schei­dung des Uni­ons­ge­richts­hofs über die Rechts­sa­che im Ein­klang mit des­sen Ent­schei­dung zu ent­schei­den. Die Ent­schei­dung des Uni­ons­ge­richts­hofs bin­det in glei­cher Wei­se ande­re natio­na­le Gerich­te, die mit einem ähn­li­chen Pro­blem befasst wer­den.

In sei­nem jetzt ver­kün­de­ten Urteil ant­wor­te­te der Uni­ons­ge­richts­hof auf die vor­ge­leg­te Rechts­fra­ge, dass das Uni­ons­recht einer natio­na­len Rege­lung ent­ge­gen­steht, die eine all­ge­mei­ne und unter­schieds­lo­se Spei­che­rung von Daten vor­sieht.

Der Uni­ons­ge­richts­hof bestä­tigt zunächst, dass die in Rede ste­hen­den natio­na­len Rechts­vor­schrif­ten in den Gel­tungs­be­reich der Richt­li­nie fal­len. Denn die mit der Daten­schutz­richt­li­nie garan­tier­te Ver­trau­lich­keit elek­tro­ni­scher Kom­mu­ni­ka­tio­nen und der Ver­kehrs­da­ten gilt für Maß­nah­men sämt­li­cher ande­rer Per­so­nen als der Nut­zer, unab­hän­gig davon, ob es sich um pri­va­te Per­so­nen oder Ein­rich­tun­gen oder um staat­li­che Ein­rich­tun­gen han­delt.

Sodann stellt der Gerichts­hof der Euro­päi­schen Uni­on fest, dass die Daten­schutz­richt­li­nie zwar den Mit­glied­staa­ten erlaubt, die Trag­wei­te der grund­sätz­li­chen Ver­pflich­tung, die Ver­trau­lich­keit der Kom­mu­ni­ka­ti­on und der damit ver­bun­de­nen Ver­kehrs­da­ten zu gewähr­leis­ten, ein­zu­schrän­ken, sie es aber nicht zu recht­fer­ti­gen ver­mag, dass die Aus­nah­me von die­ser grund­sätz­li­chen Ver­pflich­tung und ins­be­son­de­re von dem mit die­ser Richt­li­nie auf­ge­stell­ten Ver­bot der Spei­che­rung die­ser Daten zur Regel wird.

Der Uni­ons­ge­richts­hof weist außer­dem auf sei­ne stän­di­ge Recht­spre­chung hin, wonach der Schutz des Grund­rechts auf Ach­tung des Pri­vat­le­bens ver­langt, dass sich die Aus­nah­men vom Schutz per­so­nen­be­zo­ge­ner Daten auf das abso­lut Not­wen­di­ge beschrän­ken. Der Gerichts­hof wen­det die­se Recht­spre­chung sowohl auf die Regeln über die Vor­rats­da­ten­spei­che­rung als auch auf die Regeln über den Zugang zu den gespei­cher­ten Daten an.

In Bezug auf die Vor­rats­spei­che­rung stellt der Uni­ons­ge­richts­hof fest, dass aus der Gesamt­heit der gespei­cher­ten Daten sehr genaue Schlüs­se auf das Pri­vat­le­ben der Per­so­nen, deren Daten auf Vor­rat gespei­chert wur­den, gezo­gen wer­den kön­nen.

Der Grund­rechts­ein­griff, der mit einer natio­na­len Rege­lung ein­her­geht, die eine Spei­che­rung von Ver­kehrs- und Stand­ort­da­ten vor­sieht, ist somit als beson­ders schwer­wie­gend anzu­se­hen. Der Umstand, dass die Vor­rats­spei­che­rung der Daten vor­ge­nom­men wird, ohne dass die Nut­zer elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­diens­te dar­über infor­miert wer­den, ist geeig­net, bei den Betrof­fe­nen das Gefühl zu erzeu­gen, dass ihr Pri­vat­le­ben Gegen­stand einer stän­di­gen Über­wa­chung ist. Des­halb ver­mag allein die Bekämp­fung schwe­rer Straf­ta­ten einen sol­chen Grund­rechts­ein­griff zu recht­fer­ti­gen.

Der Gerichts­hof der Euro­päi­schen Uni­on weist dar­auf hin, dass eine Rege­lung, die eine all­ge­mei­ne und unter­schieds­lo­se Vor­rats­da­ten­spei­che­rung vor­sieht, kei­nen Zusam­men­hang zwi­schen den Daten, deren Vor­rats­spei­che­rung vor­ge­se­hen ist, und einer Bedro­hung der öffent­li­chen Sicher­heit ver­langt und sich ins­be­son­de­re nicht auf die Daten eines Zeit­raums und/​oder eines geo­gra­fi­schen Gebiets und/​oder eines Per­so­nen­krei­ses, der in irgend­ei­ner Wei­se in eine schwe­re Straf­tat ver­wi­ckelt sein könn­te, beschränkt. Eine sol­che natio­na­le Rege­lung über­schrei­tet somit die Gren­zen des abso­lut Not­wen­di­gen und kann nicht als in einer demo­kra­ti­schen Gesell­schaft gerecht­fer­tigt ange­se­hen wer­den, wie es die Richt­li­nie im Licht der EU-Grund­rech­te­char­ta ver­langt.

Der Uni­ons­ge­richts­hof stellt jedoch klar, dass die Daten­schutz­richt­li­nie einer natio­na­len Rege­lung nicht ent­ge­gen­steht, die zur Bekämp­fung schwe­rer Straf­ta­ten eine geziel­te Vor­rats­spei­che­rung von Daten ermög­licht, sofern die­se Vor­rats­spei­che­rung hin­sicht­lich der Kate­go­ri­en von zu spei­chern­den Daten, der erfass­ten Kom­mu­ni­ka­ti­ons­mit­tel, der betrof­fe­nen Per­so­nen und der vor­ge­se­he­nen Spei­che­rungs­dau­er auf das abso­lut Not­wen­di­ge beschränkt ist. Dem Gerichts­hof zufol­ge muss jede natio­na­le Rege­lung, die der­ar­ti­ges vor­sieht, klar und prä­zi­se sein und hin­rei­chen­de Garan­ti­en ent­hal­ten, um die Daten vor Miss­brauchs­ri­si­ken zu schüt­zen. Die betref­fen­de Rege­lung muss ange­ben, unter wel­chen Umstän­den und Vor­aus­set­zun­gen eine Maß­nah­me der Vor­rats­spei­che­rung von Daten vor­beu­gend getrof­fen wer­den darf, um so zu gewähr­leis­ten, dass der Umfang die­ser Maß­nah­me in der Pra­xis tat­säch­lich auf das abso­lut Not­wen­di­ge beschränkt ist. Eine sol­che Rege­lung muss ins­be­son­de­re auf objek­ti­ve Anknüp­fungs­punk­te gestützt sein, die es ermög­li­chen die­je­ni­gen Per­so­nen zu erfas­sen, deren Daten geeig­net sind, einen Zusam­men­hang mit schwe­ren Straf­ta­ten auf­zu­wei­sen, zur Bekämp­fung schwe­rer Straf­ta­ten bei­zu­tra­gen oder eine schwer­wie­gen­de Gefahr für die öffent­li­che Sicher­heit zu ver­hin­dern.

Was den Zugang der zustän­di­gen natio­na­len Behör­den zu den gespei­cher­ten Daten betrifft, bekräf­tigt der Gerichts­hof der Euro­päi­schen Uni­on, dass sich die betref­fen­de natio­na­le Rege­lung nicht dar­auf beschrän­ken darf, zu ver­lan­gen, dass der Zugang einem der in der Daten­schutz­richt­li­nie genann­ten Zwe­cke die­nen muss – auch wenn es sich bei die­sem Zweck um die Bekämp­fung schwe­rer Straf­ta­ten han­delt –, son­dern außer­dem die mate­ri­ell- und ver­fah­rens­recht­li­chen Vor­aus­set­zun­gen für den Zugang der zustän­di­gen natio­na­len Behör­den zu den gespei­cher­ten Daten fest­zu­le­gen hat. Die natio­na­le Rege­lung muss sich bei der Fest­le­gung der Umstän­de und Vor­aus­set­zun­gen, unter denen den zustän­di­gen natio­na­len Behör­den Zugang zu den Daten zu gewäh­ren ist, auf objek­ti­ve Kri­te­ri­en stüt­zen. Zum Zweck der Bekämp­fung von Straf­ta­ten darf Zugang grund­sätz­lich nur zu Daten von Per­so­nen gewährt wer­den, die im Ver­dacht ste­hen, eine schwe­re Straf­tat zu pla­nen, zu bege­hen oder began­gen zu haben oder auf irgend­ei­ne Wei­se in eine sol­che Straf­tat ver­wi­ckelt zu sein. Aller­dings könn­te in beson­de­ren Situa­tio­nen wie etwa sol­chen, in denen vita­le Inter­es­sen der natio­na­len Sicher­heit, der Lan­des­ver­tei­di­gung oder der öffent­li­chen Sicher­heit durch ter­ro­ris­ti­schen Akti­vi­tä­ten bedroht sind, der Zugang zu Daten ande­rer Per­so­nen eben­falls gewährt wer­den, wenn es objek­ti­ve Anhalts­punk­te dafür gibt, dass die­se Daten im kon­kre­ten Fall einen wirk­sa­men Bei­trag zur Bekämp­fung sol­cher Akti­vi­tä­ten leis­ten könn­ten.

Zudem ist es nach Auf­fas­sung des Uni­ons­ge­richts­hofs uner­läss­lich, dass der Zugang zu den auf Vor­rat gespei­cher­ten Daten grund­sätz­lich, außer in Eil­fäl­len, einer vor­he­ri­gen Kon­trol­le ent­we­der durch ein Gericht oder eine unab­hän­gi­ge Stel­le unter­wor­fen wird. Außer­dem müs­sen die zustän­di­gen natio­na­len Behör­den, denen Zugang zu den gespei­cher­ten Daten gewährt wur­de, die betrof­fe­nen Per­so­nen davon in Kennt­nis set­zen.

In Anbe­tracht der Men­ge an gespei­cher­ten Daten, ihres sen­si­blen Cha­rak­ters und der Gefahr eines unbe­rech­tig­ten Zugangs muss die natio­na­le Rege­lung vor­se­hen, dass die Daten im Gebiet der Uni­on zu spei­chern sind und nach Ablauf ihrer Spei­che­rungs­frist unwi­der­ruf­lich zu ver­nich­ten sind.

Gerichts­hof der Euro­päi­schen Uni­on, Urteil vom 21. Dezem­ber 2016 – C ‑203/​15 und C ‑698/​15

  1. EuGH, Urteil vom 08.04.2014 – C‑293/​12 und C‑594/​12[]
  2. ABl. L 105, S. 54[]
  3. EuGH – C‑203/​15[]
  4. EuGH – C‑698/​15[]
  5. ABl. L 201, S. 37, in der Fas­sung des Richt­li­nie 2009/​136/​EG des Euro­päi­schen Par­la­ments und des Rates vom 25. Novem­ber 2009, ABl. L 337, S. 11[]