EuGH: Vorratsdatenspeicherungs-Richtlinie ungültig

Zwischenhalt auf dem Weg zur Totalerfassung

Mit Urteil vom 8. April 2014 erklärte der Gerichtshof die sogenannte Vorratsdatenspeicherungs-Richtlinie für ungültig (Digital Rights Ireland Ltd. u.a., EuGH vom 8. April 2014, verb. Rs. C-293/12 und C-594/12). Die Entscheidung muss aber so verstanden werden, dass der Gerichtshof diese Form der umfassenden Datenspeicherung grundsätzlich für zulässig hält. Es steht daher zu befürchten, dass eine nachgebesserte Fassung der Richtlinie verabschiedet und das Instrument dann doch eingeführt wird.

Dieser Text basiert auf einem Beitrag, der in der April-Ausgabe des ELR veröffentlicht wurde.

Inhaltsdaten und Verkehrsdaten

Bei jedem elektronischen Kommunikationsvorgang wird nicht nur die auszutauschende Nachricht selbst übertragen (die sog. Inhaltsdaten), sondern es fallen Informationen zum Kommunikationsvorgang als solchem an, also zum Umstand, welcher Teilnehmer zu welchem Zeitpunkt und von welchem Ort aus wie lange Kontakt mit einem anderen Teilnehmer hatte (sog. Meta-Daten oder Verkehrsdaten).

Die Inhaltsdaten der Kommunikation unterliegen besonderem Schutz. Art. 7 und 8 der Charta der Grundrechte gewährleisten das Recht auf Achtung des Privat- und Familienlebens bzw. das Recht auf Schutz personenbezogener Daten. Dem Schutz personenbezogener Daten dienen weiterhin die Datenschutz-Richtlinie 95/46 sowie die Richtlinie zum Schutz der Privatsphäre in der elektronischen Kommunikation 2002/58.

Aber auch wenn ein Zugriff auf den Inhalt der Kommunikation nur in ganz seltenen Ausnahmefällen zulässig ist, so können doch bereits aus dem Kommunikationsverhalten, abgebildet durch die Verkehrsdaten, Rückschlüsse auf den Benutzer und sein Nutzungsverhalten gezogen werden; Rückschlüsse insbesondere auf sein soziales Umfeld, seine Interessen und dadurch – mit Einschränkungen – auch auf sein zukünftiges Verhalten. Verkehrsdaten sind daher von großem Interesse für Strafverfolgungsbehörden. Sie machen geltend, ohne solche Daten sei eine effektive Verfolgung von Straftaten nicht mehr möglich.

Erfassung und Speicherung von Verkehrsdaten

Bereits nach geltendem Recht ist es zulässig, Verkehrsdaten zu erfassen und zu speichern, wenn das bei konkreten Ermittlungen erforderlich ist. Art. 13 Abs. 1 der Richtlinie 95/46 erlaubt die Beschränkung der in ihr gewährleisteten Rechte u.a. für Zwecke der öffentlichen Sicherheit sowie für die Verhütung und Verfolgung von Straftaten. Für entsprechende Zwecke gestattet auch Richtlinie 2002/58 den Mitgliedstaaten in ihrem Art. 15 Abs. 1 konkret für den Bereich der Telekommunikation, die Vertraulichkeit von Verkehrsdaten einzuschränken. Insbesondere kann eine zeitlich befristete Datenspeicherung angeordnet werden.

Die Erfassung und Verwertung von Verkehrsdaten ist nach dem Recht etwa der Bundesrepublik Deutschland allerdings nur aufgrund einer richterlichen Anordnung im Einzelfall zulässig (für den Bereich der Strafverfolgung nach §§ 100a, 100b StPO). Die Gesetzgebungskompetenz für die Gefahrenabwehr liegt bei den Bundesländern, diese haben jeweils ähnliche Vorschriften erlassen, nach denen eine Überwachungsmaßnahme von einem Gericht angeordnet werden muss). Abhängig davon, wie schnell eine entsprechende Anordnung erwirkt werden kann, mag es sein, dass der zu überwachende Kommunikationsvorgang bereits abgeschlossen ist. Auch wenn die überwachte Person weiter Nachrichten austauscht, können diese erst ab dem Zeitpunkt der Anordnung verfolgt werden; in der Vergangenheit übertragene Nachrichten sind verloren.

Innerhalb der Union wurde daher der Ruf laut, Daten auch ohne eine solche gerichtliche Anordnung und ohne konkreten Bezug auf einen Einzelfall speichern zu können (sog. Vorrats-Datenspeicherung). Auf diese Weise sollte sichergestellt werden, dass auch Kommunikationsdaten aus dem Zeitraum vor der Anordnung zur Verfügung stehen.

Im April 2004 legten einige Mitgliedstaaten, darunter Frankreich und Irland, den Entwurf eines Rahmenbeschlusses vor. Die Kommission lehnte diesen ab, da nach ihrer Auffassung eine Richtlinie das geeignete Regelungsinstrument sei. Im September 2005 stellte die Kommission ihren eigenen Entwurf vor , der später zum Erlass der hier streitgegenständlichen Richtlinie im Februar 2006 führte.

Vorratsdatenspeicherungs-Richtlinie

Nach ihrem Art. 1 Abs. 1 ist es Ziel der Richtlinie, Verkehrs- und Standortdaten für die Ermittlung, Feststellung und Verfolgung von Straftaten zu erfassen (Erwägungsgrund 11). Sie verpflichtet die Mitgliedstaaten sicherzustellen, dass Anbieter elektronischer Kommunikationsdienste und von öffentlichen Kommunikationsnetzen (im Folgenden: Anbieter) bei ihnen anfallende Verkehrsdaten auf Vorrat speichern, also unabhängig von einem konkreten Einzelfall und ohne gerichtliche Anordnung. Die Speicherung erfolgt also bei den Anbietern selbst und nicht an zentraler, etwa staatlicher Stelle.

Nach Art. 1 und 2 der Richtlinie sind die Verkehrsdaten eines Kommunikationsvorgangs, nicht jedoch dessen Inhalt zu speichern. Art. 5 definiert „Kategorien von auf Vorrat zu speichernden Daten“, insbesondere solche, die die Rückverfolgung und Identifizierung der Quelle einer Nachricht sowie die des Adressaten einer Nachricht ermöglichen, und Daten, mit denen der Standort mobiler Geräte ermittelt werden kann.

Nach Art. 6 der Richtlinie müssen die Daten mindestens sechs Monate und dürfen höchstens zwei Jahre gespeichert werden. Nach Ablauf der Speicherungsfrist sind die Daten zu löschen.

Art. 7 der Richtlinie enthält Vorschriften zum Datenschutz und zur Datensicherheit. Die Mitgliedstaaten sollen sicherstellen, dass die Anbieter, bei denen die Daten gespeichert werden, „geeignete technische und organisatorische Maßnahmen“ ergreifen, insbesondere um die Daten vor unbefugter Verarbeitung zu schützen und um sicherzustellen, dass ausschließlich besonders ermächtigte Personen Zugang zu den Daten haben. Konkrete Vorgaben, welcher Art die „geeigneten“ Maßnahmen sein müssen, enthält die Richtlinie nicht.

Nach Art. 9 soll die Anwendung der Umsetzungsvorschriften durch unabhängige öffentliche Stellen („Kontrollstellen“) überwacht werden.

EuGH: Richtlinie verletzt Recht auf Schutz personenbezogener Daten der Betroffenen

Die Idee einer umfassenden Überwachung jeglicher elektronischer Kommunikation war von Anfang an umstritten, die erheblichen datenschutzrechtlichen Probleme liegen auf der Hand. Es war daher nur eine Frage der Zeit, bis die Richtlinie vom Gerichtshof geprüft werden musste. Hierzu kam es aufgrund zweier Vorabentscheidungsersuchen. In der Rechtssache C-293/12 (Digital Rights) klagte eine irische Bürgerrechtsorganisation vor dem irischen High Court gegen Vorschriften des Criminal Justice (Terrorist Offences) Act 2005, mit dem Regelungen der Richtlinie in irisches Recht umgesetzt worden waren. Die Bürgerrechtsorganisation machte geltend, die Erfassung von Telefondaten verletze insbesondere ihr Recht auf Privatsphäre, den Schutz personenbezogener Daten und die Freiheit der Meinungsäußerung.

Im Verfahren C-594/12 legte der Österreichische Verfassungsgerichtshof dem Gerichtshof die Frage zur Klärung vor, ob bestimmte Vorschriften des Österreichischen Telekommunikationsgesetzes gegen Gemeinschaftsrecht, insbesondere das Recht auf Schutz personenbezogener Daten verstießen.

In seiner Entscheidung kommt der Gerichtshof zu dem Ergebnis, dass die Richtlinie in unverhältnismäßigem Maße in die Rechte der Betroffenen eingreife, und erklärt sie für ungültig.

Der Gerichtshof stellt fest, die Verpflichtung zur Vorratsdatenspeicherung weiche von Grundsätzen der Richtlinien 95/46 und 2002/58 ab. Letztere sieht die Vertraulichkeit der Kommunikation und der Verkehrsdaten sowie die Pflicht vor, diese Daten zu löschen oder zu anonymisieren, sobald sie für die Übertragung einer Nachricht nicht mehr benötigt werden, ausgenommen die zur Gebührenabrechnung erforderlichen Daten und auch diese nur, solange sie dafür benötigt werden.

Die Speicherung der Verkehrsdaten einerseits und die Möglichkeit der Behörden zum Zugriff auf diese Daten andererseits stellt einen Eingriff insbesondere in das Grundrecht des Art. 8 der Charta dar (Schutz personenbezogener Daten). Da die betroffenen Nutzer nicht von konkreten Maßnahmen unterrichtet würden, entstehe bei ihnen das diffuse Gefühl einer ständigen Überwachung.

Nach Auffassung des Gerichtshofes erlaubt die Richtlinie unverhältnismäßige Eingriffe in Grundrechte der Betroffenen.

Zwar folgte der Gerichtshof nicht der Auffassung von Kritikern der Richtlinie, die geltend gemacht hatten, sie habe nur geringen Nutzen für die Verbrechensbekämpfung. Die Täter, derer man habhaft werden wolle, verfügten nämlich über die Kenntnisse und technischen Mittel, um sich einer Beobachtung zu entziehen, während der Großteil der überwachten Bevölkerung keinerlei Anlass für eine solche Datensammlung gebe.

Der EuGH stellt allerdings klar, dass Eingriffe in den Schutz personenbezogener Daten auf das absolut Notwendige beschränkt sein müssen. Dies ist bei der Richtlinie nicht der Fall: Sie ermöglicht die Erfassung aller Verkehrsdaten über alle elektronischen Kommunikationsmittel, damit seien alle Nutzer in Europa betroffen – ein Eingriff in die Grundrechte fast der gesamten europäischen Bevölkerung. Die Maßnahmen müssen allerdings nach der Richtlinie nicht zielgerichtet auf Personen beschränkt werden, die Straftaten begangen haben oder bei denen Anhaltspunkte dafür bestehen, dass von ihnen eine Gefährdung ausgehen könnte. Die Richtlinie definiert nicht genau, welche Straftaten Anlass für die Verwertung der Daten sein können. Die Speicherung der Daten bis zu 24 Monate sei unverhältnismäßig.

Auch die Regelungen der Richtlinie zum Datenschutz hält der Gerichtshof für unzureichend. Welche Maßnahmen getroffen werden müssen, war den Mitgliedstaaten überlassen. Ein Mindestniveau war nicht vorgesehen, vielmehr sah die Richtlinie vor, dass die zur Speicherung verpflichteten Diensteanbieter nur wirtschaftlich vertretbare Schutzmaßnahmen ergreifen mussten.

Weil die Richtlinie daher unverhältnismäßige Eingriffe in die Grundrechte auf Achtung des Privat- und Familienlebens und des Schutzes personenbezogener Daten ermögliche, erklärt der Gerichtshof die Richtlinie für ungültig.

Öffentliche Sicherheit versus Datenschutz

Im Mittelpunkt der Entscheidung steht die Frage, inwieweit Grundrechte unter Berufung auf Sicherheitsinteressen eingeschränkt werden dürfen. Eine Vorratsdatenspeicherung in der Form, wie sie nach der Richtlinie möglich wäre, stellt einen unverhältnismäßigen Eingriff in die Grundrechte aus Art. 7 und 8 der Charta dar. Leider muss die Entscheidung aber so verstanden werden, dass der Gerichtshof eine Vorratsdatenspeicherung nicht per se als rechtswidrig ansieht. Zweifellos werden die Mitgliedstaaten einen neuen Anlauf unternehmen, um die Vorratsdatenspeicherung rechtskonform einzuführen, die sie als unverzichtbar ansehen.

Welche Folgerungen ergeben sich aus der Entscheidung für das Instrument der Vorratsdatenspeicherung? An dieser Stelle ist ein Vergleich mit der Entscheidung des deutschen Bundesverfassungsgerichts aus dem März 2010 angebracht, das sich ebenfalls mit dieser Form der Datensammlung zu befassen hatte, genauer: mit den §§ 113a, 113b TKG, mit denen Deutschland die Vorgaben der – damals noch gültigen – Richtlinie in nationales Recht umgesetzt hatte. Das BVerfG erklärte beide Normen für nichtig, da sie einen unverhältnismäßigen Eingriff in das grundrechtlich geschützte Post- und Fernmeldegeheimnis (Art. 10 GG) darstellten. Zwar kommt auch das BVerfG zu der Einschätzung, dass eine anlassunabhängige Speicherung von Verkehrsdaten „nicht schlechthin“ mit Art. 10 GG unvereinbar sei. Die entsprechenden gesetzlichen Vorschriften, nach denen eine solche Speicherung erfolge, müssten jedoch einen besonders hohen Standard für die Datensicherheit vorgeben, und zwar nicht lediglich im Sinne eines „angemessenen“ Schutzes, bei dem Wirtschaftlichkeitsüberlegungen berücksichtigt werden könnten.

Weiterhin müsse sichergestellt werden, dass die gesammelten Daten nur für überragend wichtige Aufgaben des Rechtsgüterschutzes verwendet werden dürfen, und dies auch nur auf richterliche Anordnung und unter richterlicher Kontrolle.

Diese Kriterien finden sich sinngemäß in der vier Jahre später ergangenen Entscheidung des Gerichtshofes wieder. Bei einer rechtskonformen Neuregelung der Vorratsdatenspeicherung wären daher folgende Vorgaben zu beachten:

  1. Der Eingriff in die Privatsphäre muss auf das „absolut Notwendige“ beschränkt sein. Das bedeutet, dass eine geographische, zeitliche und persönliche Beschränkung der Erfassung möglich sein muss. Eine flächendeckende Erfassung aller in der EU anfallenden Daten wäre damit unzulässig. Personen, die (wie Anwälte oder Ärzte) gesetzlichen Verschwiegenheitspflichten unterliegen, müssen von der Überwachung ausgenommen werden können.
  2. Die Erfassung muss auf Fälle beschränkt sein, die einen Zusammenhang zu hinreichend klar definierten „schweren“ Straftaten aufweisen. Die Definition dessen, was eine „schwere“ Straftat ist, darf zwar den Mitgliedstaaten überlassen werden; die Richtlinie muss aber hinreichend konkrete Vorgaben machen.
  3. Es muss klare Regelungen zum Zugriff auf die gespeicherten Daten geben: Wer entscheidet anhand welcher Kriterien darüber, wer zugreifen darf; für welche Zwecke dürfen die gewonnenen Informationen verwendet werden? Die Verarbeitung und Nutzung darf nur zweckgebunden zur Verfolgung bzw. Verhinderung schwerer Straftaten erfolgen.
  4. Technisch-organisatorische Maßnahmen zu Datenschutz und Datensicherheit müssen festgelegt werden. Hierzu zählt, dass die erfassten Daten nur innerhalb der EU, jedenfalls aber im Geltungsbereich der EU-Datenschutzvorschriften gespeichert werden dürfen. Auf der Grundlage von Safe Harbor-Regelungen könnte dies zwar auch für die USA gelten. Angesichts der derzeitigen Enthüllungen zur umfassenden Datensammlung durch amerikanische Geheimdienste liegt es jedoch auf der Hand, dass eine Speicherung nur in Staaten in Betracht kommen darf, in denen die Daten vor dem Zugriff US-amerikanischer Geheimdienste geschützt sind, sofern dies überhaupt noch möglich ist. Die Speicherung darf nur für einen möglichst kurzen Zeitraum aufrechterhalten werden, anschließend sind die Daten unwiderruflich zu löschen.
  5. Eine unabhängige Stelle hat die Anwendung des Gesetzes und die Einhaltung der Schutzvorschriften zu überwachen. Verstöße müssen mit empfindlichen Strafen geahndet werden können.

Ist die Vorratsdatenspeicherung ein geeignetes Mittel zur Verbrechensaufklärung?

Ob eine Vorratsdatenspeicherung auf dieser Grundlage zur Verbrechensaufklärung und zur Prävention schwerer Straftaten wesentlich beitragen kann, ist eine andere Frage, die hier nicht erörtert werden soll; nur soviel: Der unbestrittene – theoretische – Vorteil einer verdachtsunabhängigen Speicherung des gesamten Datenaufkommens liegt darin, dass Kontakte zwischen Personen im Nachhinein rekonstruiert werden können. Diese Rekonstruktion liefert um so wertvollere Erkenntnisse, je breiter die zur Verfügung stehende Datenbasis ist. Jedwede Einschränkung, die diese Datenbasis schmälert, etwa indem bestimmte Personen von vornherein ausgenommen werden oder die Erfassung geographisch oder zeitlich eingeschränkt wird, beeinträchtigt die Effektivität der Auswertung. Gerade eine solche Beschränkung ist aber unverzichtbar, wenn die Vorratsdatenspeicherung denn überhaupt rechtskonform ausgeführt werden soll.

Vorratsdatenspeicherung ist grundsätzlich abzulehnen

Gleich wie viel Aufwand getrieben wird, bleiben die grundsätzlichen Kritikpunkte bestehen: Die Datensammlung ist mit einem erheblichen Missbrauchsrisiko verbunden, da nicht nur Polizei und Nachrichtendienste, sondern auch Wirtschaftsunternehmen wesentlichen Nutzen aus den gesammelten Daten ziehen können. Hierzu zählt auch Industriespionage. Es besteht daher immer die Gefahr, dass unbefugte Dritte versuchen, sich Zugang zu den Daten zu verschaffen. Dieses Risiko lässt sich auch durch anspruchsvolle Sicherungsmaßnahmen nur reduzieren, nie aber ganz ausschließen.

Die Kritiker weisen ferner zu Recht darauf hin, dass jegliche Form von Überwachung geeignet ist, das Verhalten der beobachteten Personen zu beeinflussen. Personen, die sich etwa in Ausübung ihrer Grundrecht über staatskritische Positionen oder heikle Gesundheitsfragen informieren wollen, nehmen hiervon möglicherweise Abstand, wenn sie mit der Möglichkeit rechnen, dass ihre Recherchen erfasst und zu einem späteren Zeitpunkt ausgewertet werden könnten.

Diese negativen Folgen sind dem möglichen Nutzen gegenüberzustellen, der aus einer anlasslosen Datenspeicherung gezogen werden kann. Solche Vorteile werden von den öffentlichen Stellen bislang allerdings lediglich behauptet, nicht aber belegt.

Angesichts der gravierenden Nachteile und der nicht erwiesenen Vorteile ist eine Vorratsdatenspeicherung daher insgesamt abzulehnen; ihre Einführung wird sich allerdings wohl nicht verhindern lassen. An das „diffuse Gefühl der Überwachung“ werden wir uns daher gewöhnen müssen.

Über Henning Kahlert

Dr. Henning Kahlert, LL.M. (Rechtsinformatik), ist Rechtsanwalt und Fachanwalt für Bank- und Kapitalmarktrecht. Seine Tätigkeitsschwerpunkte umfassen Bankrecht sowie das IT-Recht.
Dieser Beitrag wurde unter Datenschutzrecht abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentare sind geschlossen.