EuGH: Das Urteil zur Vorratsdatenspeicherung im Detail
Der EuGH hat mit Urteil vom gestrigen Tag die Richtlinie zur Vorratsdatenspeicherung für rechtswidrig erklärt (Az.: C-293/12 und C-594/12). Das Urteil ist knapp gehalten, gleichzeitig aber sauber begründet und in seinen Aussagen eindeutig: Der EuGH erklärt nicht nur die Vorratsdatenspeicherungs-Richtlinie für rechtswidrig und nichtig. Er führt dafür auch eine so große Anzahl von Gründen an, dass man wohl schon jetzt sagen kann: Eine mit den EU-Grundrechten vereinbare Vorratsdatenspeicherung wird die EU auf absehbare Zeit nicht anordnen können.
Das heutige Urteil des EuGH markiert einen wichtigen Zwischenschritt in den langen Auseinandersetzungen um die Vorratsdatenspeicherung. Diese ist auf EU-Ebene durch die Richtlinie 2006/24/EG festgelegt. Die Mitgliedsstaaten waren deshalb gezwungen, jeweils gesetzlich eine solche Mindestspeicherung festzulegen – und dadurch massenhaft die Privatsphäre ihrer Bürger zu verletzen. Aus diesem Grund kam es auch in fast allen Mitgliedsstaaten zu Protesten gegen die Richtlinie und, dem nachfolgend, einer Reihe von Gerichtsverfahren. Dennoch wurde mehr als vier Jahre lang der EuGH nicht mit der Frage befasst, ob die Richtlinie mit den Grundrechten vereinbar ist – wohl das Ergebnis eines Kommunikationsfehlers. Das Urteil des EuGH ist dafür nun aber an Deutlichkeit kaum zu überbieten.
Die Entscheidung im Detail
Der Gerichtshof führt eine fast schon schulmäßige Prüfung der Vereinbarkeit der Richtlinie mit den EU-Grundrechten durch. Prüfungsmaßstab: Art. 7 und 8 der EU-Grundrechtecharta, also das Recht auf Privatsphäre und das Recht auf Datenschutz (Rn. 29 ff. des Urteils). Zusätzlich stellt der EuGH fest, hat die Speicherung von kommunikationsbezogenen Daten auch „Auswirkungen” auf die Meinungs- und Kommunikationsfreiheit nach Art. 11 der EU-GrCh (Rn. 28). Der EuGH erwähnt in in diesem Zusammenhang noch kurz die „chilling effects” als Gefühl des Überwachtwerdens (Rn. 37), lässt die Prüfung nach Art. 11 EU-GrCh aber letztlich dahingestellt (Rn. 70).
Für Verfassungsrechtsdogmatiker ist außerdem interessant, dass der EuGH sich auch ausführlich mit der Frage beschäftigt, ob ein „Eingriff” in die Grundrechte vorliegt (Rn. 32 ff.). Dies deutet an, dass der EuGH sich bei der Prüfungsdogmatik tendenziell an die aus dem deutschen Verfassungsrecht bekannte Drei-Schritte-Prüfung anlehnt (Schutzbereich, Eingriff, Rechtfertigung).
Im Rahmen der Rechtfertigungsprüfung geht der EuGH, nachdem kurz die anderen Schranken-Schranken des Art. 52 Abs. 1 EU-GrCh gestreift hat, schnell zur Verhältnismäßigkeitsprüfung über. Hier befasst sich der EuGH zunächst unter Berufung auf einige Urteile des EGMR mit der Größe des „Gestaltungsspielraums” des Unionsgesetzgebers: Dieser sei eher klein, da schwerwiegende Grundrechtseingriffe in Frage stünden. Wieso der EuGH den Begriff des „Gestaltungsspielraums” einführt, ist nicht richtig nachvollziehbar; die vom EGMR entwickelte Lehre vom Margin of Appreciation ist auf eine homogen rechtssetzende Institution wie die EU eigentlich nicht übertragbar.
Im Folgenden bejaht der EuGH zunächst die Geeignetheit der Richtlinie (Rn. 49 f.):
Zu der Frage, ob die Vorratsspeicherung der Daten zur Erreichung des mit der Richtlinie 2006/24 verfolgten Ziels geeignet ist, ist festzustellen, dass angesichts der wachsenden Bedeutung elektronischer Kommunikationsmittel die nach dieser Richtlinie auf Vorrat zu speichernden Daten den für die Strafverfolgung zuständigen nationalen Behörden zusätzliche Möglichkeiten zur Aufklärung schwerer Straftaten bieten und insoweit daher ein nützliches Mittel für strafrechtliche Ermittlungen darstellen. Die Vorratsspeicherung solcher Daten kann somit als zur Erreichung des mit der Richtlinie verfolgten Ziels geeignet angesehen werden.
Diese Beurteilung kann nicht durch den […] Umstand in Frage gestellt werden, dass es mehrere elektronische Kommunikationsweisen gebe, die nicht in den Anwendungsbereich der Richtlinie 2006/24 fielen oder die eine anonyme Kommunikation ermöglichten. Dieser Umstand vermag zwar die Eignung der in der Vorratsspeicherung der Daten bestehenden Maßnahme zur Erreichung des verfolgten Ziels zu begrenzen, führt aber […] nicht zur Ungeeignetheit dieser Maßnahme.
Die Gegner der Vorratsdatenspeicherung hatten bisher häufig damit argumentiert, diese sei überhaupt nicht sinnvoll, weil sie nicht zur Kriminalitäts- bzw. Terrorismusbekämpfung beitrage. Diesem Argument schließt sich der EuGH nicht an, sondern verweist schlicht auf die „wachsende Bedeutung elektronischer Kommunikationsmittel”. Das ist m.E. auch richtig: Die Behauptung, dass die Sicherheitsbehörden ohne Zugriff auf Kommunikationsdaten genauso gut ermitteln könnten, ist kaum zu belegen und widerspricht der allgemeinen Lebenserfahrung.
Im Folgenden kommt der EuGH zu einer Prüfung von Erforderlichkeit und Verhältnismäßigkeit des Eingriffs; wie häufig prüft der EuGH die beiden Aspekte gemeinsam (Rn. 52 ff.):
Der Schutz des Grundrechts auf Achtung des Privatlebens verlangt nach ständiger Rechtsprechung des Gerichtshofs jedenfalls, dass sich die Ausnahmen vom Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut Notwendige beschränken müssen […]. Insoweit ist darauf hinzuweisen, dass der Schutz personenbezogener Daten, zu dem Art. 8 Abs. 1 der Charta ausdrücklich verpflichtet, für das in ihrem Art. 7 verankerte Recht auf Achtung des Privatlebens von besonderer Bedeutung ist. Daher muss die fragliche Unionsregelung klare und präzise Regeln für die Tragweite und die Anwendung der fraglichen Maßnahme vorsehen und Mindestanforderungen aufstellen, so dass die Personen, deren Daten auf Vorrat gespeichert wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen […].
(Hervorhebung, auch im Folgenden, nicht im Original)
Diesen deutlichen Vorbemerkungen lässt der EuGH einen Seitenhieb auf den offensichtlichen Missbrauch folgen, den die Mitgliedsstaaten getrieben haben, indem sie die Kommunikationsdaten ihrer Bürger ausländischen Geheimdiensten wie der NSA ausgeliefert haben (Rn. 55):
Das Erfordernis, über solche Garantien zu verfügen, ist umso bedeutsamer, wenn die personenbezogenen Daten, wie in der Richtlinie 2006/24 vorgesehen, automatisch verarbeitet werden und eine erhebliche Gefahr des unberechtigten Zugangs zu diesen Daten besteht […].
In folgenden Abschnitt liest sich das Urteil fast stakattoartig; in schneller Frequenz benennt der EuGH Versäumnisse des EU-Gesetzgebers beim Grundrechtsschutz. Im Einzelnen:
Keine Beschränkung des überwachten Personenkreises, keine Differenzierung nach Art der erhobenen Daten, keine Bindung an den Verdacht auf Straftaten (Rn. 57 f.):
Hierzu ist erstens festzustellen, dass sich die Richtlinie 2006/24 generell auf alle Personen und alle elektronischen Kommunikationsmittel sowie auf sämtliche Verkehrsdaten erstreckt, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen.
Die Richtlinie 2006/24 betrifft nämlich zum einen in umfassender Weise alle Personen, die elektronische Kommunikationsdienste nutzen, ohne dass sich jedoch die Personen, deren Daten auf Vorrat gespeichert werden, auch nur mittelbar in einer Lage befinden, die Anlass zur Strafverfolgung geben könnte. Sie gilt also auch für Personen, bei denen keinerlei Anhaltspunkt dafür besteht, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten stehen könnte.
Keine Ausnahme für Personen, die dem Berufsgeheimnis unterliegen (Rn. 58):
Zudem sieht sie keinerlei Ausnahme vor, so dass sie auch für Personen gilt, deren Kommunikationsvorgänge nach den nationalen Rechtsvorschriften dem Berufsgeheimnis unterliegen.
Keine Zweckbindung der erhobenen Daten, keine Einschränkung auf das zur Strafverfolgung bzw. Gefahrenabwehr Notwendige (Rn. 59):
Zum anderen soll die Richtlinie zwar zur Bekämpfung schwerer Kriminalität beitragen, verlangt aber keinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen ist, und einer Bedrohung der öffentlichen Sicherheit; insbesondere beschränkt sie die Vorratsspeicherung weder auf die Daten eines bestimmten Zeitraums und/oder eines bestimmten geografischen Gebiets und/oder eines bestimmten Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, noch auf Personen, deren auf Vorrat gespeicherte Daten aus anderen Gründen zur Verhütung, Feststellung oder Verfolgung schwerer Straftaten beitragen könnten.
Keine Beschränkung auf die Verfolgung schwerer Straftaten (Rn. 60):
Zweitens kommt […] hinzu, dass die Richtlinie 2006/24 kein objektives Kriterium vorsieht, das es ermöglicht, den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung zwecks Verhütung, Feststellung oder strafrechtlicher Verfolgung auf Straftaten zu beschränken, die im Hinblick auf das Ausmaß und die Schwere des Eingriffs in die in Art. 7 und Art. 8 der Charta verankerten Grundrechte als hinreichend schwer angesehen werden können, um einen solchen Eingriff zu rechtfertigen. Die Richtlinie 2006/24 nimmt im Gegenteil in ihrem Art. 1 Abs. 1 lediglich allgemein auf die von jedem Mitgliedstaat in seinem nationalen Recht bestimmten schweren Straftaten Bezug.
Keine Beschränkung der Zugriffsrechte der nationalen Behörden, keine Zweckbindung bei Nutzung der Daten (Rn. 61):
Überdies enthält die Richtlinie 2006/24 keine materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung. Art. 4 der Richtlinie, der den Zugang dieser Behörden zu den auf Vorrat gespeicherten Daten regelt, bestimmt nicht ausdrücklich, dass der Zugang zu diesen Daten und deren spätere Nutzung strikt auf Zwecke der Verhütung und Feststellung genau abgegrenzter schwerer Straftaten oder der sie betreffenden Strafverfolgung zu beschränken sind, sondern sieht lediglich vor, dass jeder Mitgliedstaat das Verfahren und die Bedingungen festlegt, die für den Zugang zu den auf Vorrat gespeicherten Daten gemäß den Anforderungen der Notwendigkeit und der Verhältnismäßigkeit einzuhalten sind.
Kein Schutz auf Verfahrensebene vor unberechtigtem Zugriff auf die Daten, z.B. durch einen Richtervorbehalt (Rn. 62):
Insbesondere sieht die Richtlinie 2006/24 kein objektives Kriterium vor, das es erlaubt, die Zahl der Personen, die zum Zugang zu den auf Vorrat gespeicherten Daten und zu deren späterer Nutzung befugt sind, auf das angesichts des verfolgten Ziels absolut Notwendige zu beschränken. Vor allem unterliegt der Zugang der zuständigen nationalen Behörden zu den auf Vorrat gespeicherten Daten keiner vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle, deren Entscheidung den Zugang zu den Daten und ihre Nutzung auf das zur Erreichung des verfolgten Ziels absolut Notwendige beschränken soll und im Anschluss an einen mit Gründen versehenen Antrag der genannten Behörden im Rahmen von Verfahren zur Verhütung, Feststellung oder Verfolgung von Straftaten ergeht. Auch sieht die Richtlinie keine präzise Verpflichtung der Mitgliedstaaten vor, solche Beschränkungen zu schaffen.
Zu Pauschale Festlegung des Speicherzeitraums, ohne Kopplung an Sinn und Zweck der Datenspeicherung (Rn. 63 f.):
Drittens schreibt die Richtlinie 2006/24 hinsichtlich der Dauer der Vorratsspeicherung in ihrem Art. 6 vor, dass die Daten für einen Zeitraum von mindestens sechs Monaten auf Vorrat zu speichern sind, ohne dass eine Unterscheidung zwischen den in Art. 5 der Richtlinie genannten Datenkategorien nach Maßgabe ihres etwaigen Nutzens für das verfolgte Ziel oder anhand der betroffenen Personen getroffen wird.
Die Speicherungsfrist liegt zudem zwischen mindestens sechs Monaten und höchstens 24 Monaten, ohne dass ihre Festlegung auf objektiven Kriterien beruhen muss, die gewährleisten, dass sie auf das absolut Notwendige beschränkt wird.
Keine Verpflichtung der Telekommunikationsunternehmen auf den sorgfältigen Schutz der gespeicherten Kommunikationsdaten (Rn. 66 f.):
Darüber hinaus ist in Bezug auf die Regeln zur Sicherheit und zum Schutz der von den Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste oder den Betreibern eines öffentlichen Kommunikationsnetzes auf Vorrat gespeicherten Daten festzustellen, dass die Richtlinie 2006/24 keine hinreichenden, den Anforderungen von Art. 8 der Charta entsprechenden Garantien dafür bietet, dass die auf Vorrat gespeicherten Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu ihnen und jeder unberechtigten Nutzung geschützt sind. Erstens sieht Art. 7 der Richtlinie 2006/24 keine speziellen Regeln vor, die der großen nach der Richtlinie auf Vorrat zu speichernden Datenmenge, dem sensiblen Charakter dieser Daten und der Gefahr eines unberechtigten Zugangs zu ihnen angepasst sind. Derartige Regeln müssten namentlich klare und strikte Vorkehrungen für den Schutz und die Sicherheit der fraglichen Daten treffen, damit deren Unversehrtheit und Vertraulichkeit in vollem Umfang gewährleistet sind. Auch sieht die Richtlinie keine präzise Verpflichtung der Mitgliedstaaten vor, solche Regeln zu schaffen.
Art. 7 der Richtlinie 2006/24 in Verbindung mit Art. 4 Abs. 1 der Richtlinie 2002/58 und Art. 17 Abs. 1 Unterabs. 2 der Richtlinie 95/46 gewährleistet nicht, dass die genannten Anbieter oder Betreiber durch technische und organisatorische Maßnahmen für ein besonders hohes Schutz- und Sicherheitsniveau sorgen, sondern gestattet es ihnen u. a., bei der Bestimmung des von ihnen angewandten Sicherheitsniveaus wirtschaftliche Erwägungen hinsichtlich der Kosten für die Durchführung der Sicherheitsmaßnahmen zu berücksichtigen.
Keine Pflicht zur Vernichtung der Daten nach Ablauf der Speicherfrist (Rn. 67):
Vor allem gewährleistet die Richtlinie 2006/24 nicht, dass die Daten nach Ablauf ihrer Speicherungsfrist unwiderruflich vernichtet werden.
Keine Pflicht zur Speicherung der Daten auf EU-Gebiet, wo die Datenschutzaufsicht den Schutz der Daten überwachen kann (Rn. 68):
Zweitens schreibt die Richtlinie nicht vor, dass die fraglichen Daten im Unionsgebiet auf Vorrat gespeichert werden, so dass es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten […].
Im Ergebnis erklärt der EuGH der EuGH die Vorratsdatenspeicherungs-Richtlinie für „ungültig”; die Prüfung nach Art. 11 Eu-GrCh lässt er dahingestellt.
Wie geht´s jetzt weiter?
Vor Erlass des Urteils hatten viele Unterstützer der Vorratsdatenspeicherung darauf spekuliert, dass der EuGH die Richtlinie nicht vollständig aufheben würde, sondern lediglich ein paar Leitplanken einfügt und im Übrigen das Regelungsziel „Vorratsdatenspeicherung” für rechtmäßig erklärt. In diese Richtung hatte sich insbesondere noch Generalanwalt Villalón mit seinen Schlussanträgen positioniert. Die Unterstützer der Vorratsdatenspeicherung hätten sich dann bei der Neueinführung der Vorratsdatenspeicherung in Deutschland auf das EuGH-Urteil berufen können, nach dem Motto: „Der EuGH hat es doch erlaubt.”
Das jetzige Urteil hat solchen Vorhaben eine derartig deutliche Absage erteilt, dass im Moment wahrscheinlich einigen Entscheidungträgern in Berlin und Brüssel die Ohren klingeln. Das Urteil liest sich wie eine Generalabrechnung mit dem EU-Gesetzgeber, die Zahl und das Ausmaß der vom EuGH festgestellten Mängel ist enorm. In der Tendenz geht der Gerichtshof sogar über die ohnehin schon deutlichen Entscheidungen des deutschen BVerfG hinaus.
Die Richtlinie zur Vorratsdatenspeicherung ist nun „ungültig”, sie kann die Mitgliedsstaaten nicht mehr binden. Mitgliedsstaaten wie Deutschland, wo derzeit keine Verpflichtung zur Vorratsdatenspeicherung gilt, müssen dies also nicht ändern. Alle anderen Mitgliedsstaaten müssen ihre Vorratsdatenspeicherungs-Gesetze den Vorgaben des EuGH zumindest anpassen, da sie sonst gegen anderweitiges EU-Datenschutzrecht verstoßen.
Sollte es auf EU-Ebene zu einem Neuanlauf kommen, die Vorratsdatenspeicherung festzulegen, müsste dieser die Vorgaben des EuGH befolgen – mit dem Effekt, dass es keine Vorratsdatenspeicherung mehr ist. Der EuGH untersagt nämlich die Speicherung von Daten „auf Vorrat”, sondern verlangt bei Erhebung, Speicherung und Nutzung der Daten eine strikte Zweckbindung. Hinzu kommen hohe Anforderungen an die Telekommunikationsunternehmen hinsichtlich der Datensicherheit, gleichzeitig eine reduzierte Nutzbarkeit der Daten wegen der eingeschränkten Zugriffsmöglichkeiten der Sicherheitsbehörden.
Als Alternative bleibt wohl nur der „Quick Freeze”: Eine anlassbezogene und zeitlich, räumlich und personell begrenzte Anordnung an die Telekommunikationsunternehmen, die Daten ihrer Kunden vorerst nicht zu löschen. Quick Freeze war schon früher als grundrechtsfreundliche Alternative zur Vorratsdatenspeicherung empfohlen worden, ist aber in Datenschützerkreisen nicht ganz unumstritten.
Das Urteil (Az.: C-293/12 und C-594/12) im Volltext bei Telemedicus.
Urteilsbesprechung bei e-comm.
Urteilsbesprechung von Peter Schaar auf Heise Online.
Die Telemedicus-Themenseite zur Vorratsdatenspeicherung.
