EuGH, Urt. v. 21.12.2016 – C-203/15, C-698/15

Mit Urteil vom 21.12.2016 (C-203/15, C-698/15) hat der EuGH entschieden, dass Regelungen der Mitgliedstaaten, die den Betreibern elektronischer Kommunikationsdienste eine allgemeine Verpflichtung zur Vorratsdatenspeicherung auferlegen, mit EU-Recht, d.h. mit der im Lichte der Art. 7 (Achtung des Privat- und Familienlebens) und Art. 8 (Schutz personenbezogener Daten) der Grundrechtecharta auszulegenden Datenschutzrichtlinie 2002/58/EG, unvereinbar sind.

Ausgangslage: Die Europäische Union besitzt trotz fehlender Staatsqualität eine umfassende Rechtspersönlichkeit (vgl. Art. 1 III, 47 EUV). Verstößt ein Mitgliedstaat gegen zwingendes EU-Recht, greift der sog. Anwendungsvorrang. Anwendungsvorrang bedeutet, dass das mit höherrangigem Recht kollidierende niederrangige Recht zwar nicht ungültig ist, allerdings in seiner Anwendung gesperrt wird (siehe dazu R. Schmidt, Staatsorganisationsrecht, 17. Aufl. 2016, Rn. 355 ff.). Zum EU-Recht, das im Kollisionsfall Anwendungsvorrang genießt, gehört in erster Linie das primäre Unionsrecht, aber auch das sekundäre Unionsrecht. Zum primären Unionsrecht gehören im Wesentlichen die Gründungsverträge der Europäischen Gemeinschaft sowie die Änderungsverträge von Maastricht, Amsterdam, Nizza und Lissabon, die die Grundlage der heutigen Europäischen Union bilden. Mit dem Vertrag von Lissabon ist zudem die (im Zuge des Vertrags von Nizza verabschiedete) Europäische Grundrechtecharta (GRC) zum europäischen Primärrecht erklärt worden. Zum sekundären Unionsrecht zählen die von den Organen der Europäischen Union aufgrund der Gründungs- und Änderungsverträge erlassenen Rechtsvorschriften, d.h. Verordnungen, Richtlinien und Beschlüsse gem. Art. 288 AEUV.

Verordnungen (Art. 288 II AEUV) werden im ordentlichen Gesetzgebungsverfahren gemeinsam von Parlament und Rat (vgl. Art. 289 I AEUV) erlassen, in bestimmten Fällen aber auch durch das Parlament mit Beteiligung des Rates oder durch den Rat mit Beteiligung des Parlaments (vgl. Art. 289 II AEUV). Demgegenüber sind Richtlinien der EU gem. Art. 288 III AEUV grundsätzlich nur an die Mitgliedstaaten adressiert (d.h. sie entfalten grundsätzlich keine unmittelbare Geltung gegenüber den Unionsbürgern) und legen verbindliche Ziele der Union fest, die innerhalb einer vorgegebenen Frist umzusetzen sind. Bei der Wahl der Form und der Mittel der Umsetzung haben die entsprechenden staatlichen Stellen der Mitgliedstaaten i.d.R. jedoch einen gewissen Gestaltungsspielraum, solange sie die Richtlinie nur klar und eindeutig umsetzen (EuGH EuZW 2001, 437, 438 f.; R. Schmidt, Staatsorganisationsrecht, 17. Aufl. 2016, Rn. 346). Freilich müssen Verordnungen und Richtlinien mit höherrangigem Recht (d.h. mit dem Primärrecht) vereinbar sein.

Zu den Richtlinien gem. Art. 288 III AEUV zählt etwa die "Datenschutzrichtlinie für elektronische Kommunikation" (RL 2002/58/EG, ABl. L 201, 37). Ziel dieser Richtlinie ist gemäß ihren Erwägungsgründen 2, 6, 7, 11, 21, 22, 26 und 30 die Achtung der (persönlichkeitsschützenden) Grundrechte; insbesondere soll mit der Richtlinie gewährleistet werden, dass die in den Art. 7 (Achtung des Privat- und Familienlebens) und Art. 8 (Schutz personenbezogener Daten) der Grundrechtecharta niedergelegten Rechte (auch und insbesondere im Rahmen der Internetkommunikation) uneingeschränkt geachtet werden.

In Kenntnis dieser Grundsätze erschließt sich das vorliegend zu besprechende Urteil des EuGH leicht. Es geht namentlich um den Aspekt, dass nationale Regelungen, die die sog. Verkehrsdatenspeicherung zulassen oder gar vorschreiben, (auch) mit EU-Recht vereinbar sein müssen. Fällt eine nationale Regelung etwa in den Geltungsbereich der o.g. Datenschutzrichtlinie, muss sie sich an deren Maßstab messen lassen. Die Richtlinie wiederum muss sich an europäischem Primärrecht, insbesondere an der GRC, messen lassen. Das geschieht mittels Auslegung "im Lichte der GRC" (hier: Art. 7 GRC und Art. 8 GRC jeweils unter Beachtung der qualifizierten Schranken des 52 I GRC).

Verpflichtet eine nationale Regelung Betreiber elektronischer Kommunikationsdienste, systematisch und kontinuierlich ausnahmslos sämtliche Verkehrs- und Standortdaten aller Teilnehmer und registrierten Nutzer in Bezug auf alle elektronischen Kommunikationsmittel zu speichern, fällt sie in den Anwendungsbereich der Datenschutzrichtlinie. Das Gleiche gilt, wenn Betreiber öffentlicher Telekommunikationsdienste verpflichtet werden, (sämtliche) Kommunikationsdaten für bis zu zwölf Monate auf Vorrat zu speichern (auch wenn die Inhalte der Kommunikationsvorgänge nicht erfasst sind).

Fallen nationale Regelungen über die Verkehrsdatenspeicherung damit in den Anwendungsbereich der Datenschutzrichtlinie, müssen sie sich an dieser messen lassen. Dabei ist die Datenschutzrichtlinie wiederum im Lichte der Grundrechte der Art. 7 und 8 GRC sowie der Vorgaben der Einschränkbarkeit gem. 52 I GRC auszulegen (s.o.).

Die Entscheidung des EuGH: Nach Auffassung des EuGH fallen die in Rede stehenden nationalen (d.h. schwedischen) Rechtsvorschriften in den Geltungsbereich der Richtlinie. Denn die mit der Datenschutzrichtlinie garantierte Vertraulichkeit elektronischer Kommunikationen und der Verkehrsdaten gelte für Maßnahmen sämtlicher anderer Personen als der Nutzer, unabhängig davon, ob es sich um private Personen oder Einrichtungen oder um staatliche Einrichtungen handele.

In Bezug auf die Vorratsdatenspeicherung stellt der EuGH sodann einen Grundrechtseingriff fest: Die Gesamtheit der im Zuge der Vorratsdatenspeicherung gespeicherten Daten lasse sehr genaue Schlüsse auf das Privatleben der betroffenen Personen zu.

Hinsichtlich der Rechtfertigung hat der EuGH entschieden, dass die Datenschutzrichtlinie es den Mitgliedstaaten zwar grundsätzlich erlaube, die Vertraulichkeit der Kommunikation einzuschränken. Das Gericht stellt aber auch klar, dass es die Datenschutzrichtlinie nicht zulässt, wenn die mögliche Ausnahme von dieser grundsätzlichen Verpflichtung zur Sicherstellung der Vertraulichkeit personenbezogener Daten und insbesondere die mögliche Ausnahme von dem mit dieser Richtlinie aufgestellten Verbot der Speicherung dieser Daten zur Regel würden. Nach der ständigen Rechtsprechung des EuGH verlange der Schutz des Grundrechts auf Achtung des Privatlebens (Art. 7 GRC), dass sich die Ausnahmen vom Schutz personenbezogener Daten auf das absolut Notwendige beschränken. Das gelte sowohl hinsichtlich der Vorratsdatenspeicherung als auch hinsichtlich des Zugangs zu den gespeicherten Daten.

Der Grundrechtseingriff, der mit einer nationalen Regelung einhergehe, die eine Speicherung von Verkehrs- und Standortdaten vorsieht, sei somit als besonders schwerwiegend anzusehen. Der Umstand, dass die Vorratsspeicherung der Daten vorgenommen werde, ohne dass die Nutzer elektronischer Kommunikationsdienste darüber informiert würden, sei geeignet, bei den Betroffenen das Gefühl zu erzeugen, dass ihr Privatleben Gegenstand einer ständigen Überwachung sei. Deshalb vermöge allein die Bekämpfung schwerer Straftaten einen solchen Grundrechtseingriff zu rechtfertigen.

Eine nationale Regelung, die eine allgemeine und unterschiedslose Vorratsdatenspeicherung vorsehe, keinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen ist, und einer Bedrohung der öffentlichen Sicherheit verlange und sich insbesondere nicht auf die Daten eines Zeitraums und/oder eines geografischen Gebiets und/oder eines Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, beschränke, überschreite die Grenzen des absolut Notwendigen und könne nicht als in einer demokratischen Gesellschaft gerechtfertigt angesehen werden, wie es die im Lichte der Grundrechtecharta auszulegende Datenschutzrichtlinie verlange.

Mit der Datenschutzrichtlinie vereinbar sei jedoch eine nationale Regelung, die zur Bekämpfung schwerer Straftaten eine gezielte Vorratsspeicherung von Daten ermögliche, sofern diese Vorratsspeicherung hinsichtlich der Kategorien von zu speichernden Daten, der erfassten Kommunikationsmittel, der betroffenen Personen und der vorgesehenen Speicherungsdauer auf das absolut Notwendige beschränkt sei. Jede nationale Regelung, die Derartiges vorsehe, müsse klar und präzise sein und hinreichende Garantien enthalten, um die Daten vor Missbrauchsrisiken zu schützen. Die betreffende Regelung müsse angeben, unter welchen Umständen und Voraussetzungen eine Maßnahme der Vorratsspeicherung von Daten vorbeugend getroffen werden dürfe, um so zu gewährleisten, dass der Umfang dieser Maßnahme in der Praxis tatsächlich auf das absolut Notwendige beschränkt ist. Eine solche Regelung müsse insbesondere auf objektive Anknüpfungspunkte gestützt sein, die es ermöglichten, diejenigen Personen zu erfassen, deren Daten geeignet seien, einen Zusammenhang mit schweren Straftaten aufzuweisen, zur Bekämpfung schwerer Straftaten beizutragen oder eine schwerwiegende Gefahr für die öffentliche Sicherheit zu verhindern.

Des Weiteren hat der EuGH auch Anforderungen an die materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den gespeicherten Daten aufgestellt. So müsse die nationale Regelung sich bei der Festlegung der Umstände und Voraussetzungen, unter denen den zuständigen nationalen Behörden Zugang zu den Daten zu gewähren ist, auf objektive Kriterien stützen. Gehe es um die Bekämpfung von Straftaten, dürfe Zugang grundsätzlich nur zu Daten von Personen gewährt werden, die im Verdacht stehen, eine schwere Straftat zu planen, zu begehen oder begangen zu haben oder auf irgendeine Weise in eine solche Straftat verwickelt zu sein. Allerdings könne in besonderen Situationen wie etwa solchen, in denen vitale Interessen der nationalen Sicherheit, der Landesverteidigung oder der öffentlichen Sicherheit durch terroristische Aktivitäten bedroht seien, der Zugang zu Daten anderer Personen ebenfalls gewährt werden, wenn es objektive Anhaltspunkte dafür gebe, dass diese Daten im konkreten Fall einen wirksamen Beitrag zur Bekämpfung solcher Aktivitäten leisten könnten.

Zudem sei es unerlässlich, dass der Zugang zu den auf Vorrat gespeicherten Daten grundsätzlich, außer in Eilfällen, einer vorherigen Kontrolle entweder durch ein Gericht oder eine unabhängige Stelle unterworfen werde. Außerdem müssten die zuständigen nationalen Behörden, denen Zugang zu den gespeicherten Daten gewährt wurde, die betroffenen Personen davon in Kenntnis setzen. In Anbetracht der Menge an gespeicherten Daten, ihres sensiblen Charakters und der Gefahr eines unberechtigten Zugangs müsse die nationale Regelung vorsehen, dass die Daten im Gebiet der Union zu speichern sind und nach Ablauf ihrer Speicherungsfrist unwiderruflich zu vernichten sind.

Bedeutung für die Bundesrepublik Deutschland: Die sich in Deutschland stellende zentrale Frage dürfte sein, ob die am 16.10.2015 verabschiedete und am 18.12.2015 in Kraft getretene Neuregelung einer “Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ (BGBl I 2015, S. 2218) mit Neuregelungen insbesondere der §§ 113a ff. TKG und der §§ 100g, 101a StPO den o.g. Anforderungen des EuGH an die Auslegung der Datenschutzrichtlinie unter Beachtung der Grundrechte der Grundrechtecharta gerecht wird.

Zwar dienen die §§ 113a ff. TKG und die §§ 100g, 101a StPO der Bekämpfung schwerer Straftaten. Zweifel sind aber deswegen angebracht, weil auch § 113b TKG die Verpflichtung der Telekommunikationsdiensteanbieter enthält, anlasslos und undifferenziert (d.h. flächendeckend) bestimmte Daten zu speichern. Denn während die Erhebung (d.h. der Abruf) von Verkehrsdaten auf Grundlage des § 100g StPO von bestimmten, in der Vorschrift genannten Voraussetzungen (Verdacht einer besonders schweren Straftat oder einer Straftat, die mittels Telekommunikation begangen wurde) abhängt, erfolgt die Speicherung von Verkehrsdaten bei den Telekommunikationsdiensteanbietern anlasslos und undifferenziert. Die Zulässigkeit der Speicherung von Verkehrsdaten, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen, ist aber gerade vom EuGH abgelehnt worden.

Zugutezuhalten ist der deutschen Regelung immerhin, dass Verkehrsdaten über aufgerufene Internetseiten und Verkehrsdaten bzgl. des E-Mail-Verkehrs gem. § 113b V TKG nicht gespeichert werden dürfen. Auch dürfen gem. § 113b VI TKG Daten, die den in § 99 II TKG genannten Verbindungen zugrunde liegen, ebenfalls nicht gespeichert werden. Es handelt sich dabei um Anschlüsse von Personen, Behörden und Organisationen in sozialen oder kirchlichen Bereichen, die grundsätzlich anonym bleibenden Anrufern ganz oder überwiegend telefonische Beratung in seelischen oder sozialen Notlagen anbieten wie z.B. die Telefonseelsorge (siehe R. Schmidt, Polizei- und Ordnungsrecht, 18. Aufl. 2016, Rn. 309g). § 113c TKG erlaubt nur die Übermittlung von Verkehrsdaten i.S.v. § 113b TKG und für die Zwecke des § 100g II S. 1 StPO. Es muss also um die Aufklärung von besonders schweren Taten gehen, die in § 100g II S. 2 StPO genannt sind, und die Tat, derentwegen der Abruf stattfinden soll, muss auch im Einzelfall besonders schwer wiegen (siehe R. Schmidt, Polizei- und Ordnungsrecht, 18. Aufl. 2016, Rn. 309i). Das dürfte den vom EuGH aufgestellten Anforderungen genügen.

Dem vom EuGH aufgestellten Postulat, der Zugang zu den auf Vorrat gespeicherten Daten bedürfe grundsätzlich, außer in Eilfällen, einer vorherigen Kontrolle entweder durch ein Gericht oder eine unabhängige Stelle, ist ebenfalls Rechnung getragen. Denn aufgrund der Anordnung in § 101a I S. 1 StPO, dass § 100b I-IV StPO auch für § 100g StPO gilt, ergibt sich ein grundsätzlicher Richtervorbehalt für die Erhebung von Verkehrsdaten (nach § 100g II S. 1 StPO); es bedarf also grundsätzlich einer richterlichen Anordnung zur Herausgabe der Verkehrsdaten an Strafverfolgungsbehörden. Bei Gefahr im Verzug kann die Anordnung auch durch die Staatsanwaltschaft getroffen werden (§§ 101a I S. 1, 100b I S. 2 StPO), allerdings nur bezüglich Verkehrsdaten gem. §§ 100g I StPO, 96 I TKG, nicht bezüglich Verkehrsdaten gem. §§ 100g II StPO, 113b TKG (vgl. §§ 101a I S. 2, 100b I S. 2 StPO). Für diese bleibt es beim Richtervorbehalt. Das entspricht den Anforderungen des “Eilfalls”, die der EuGH aufstellt.

Ergebnis: Zwar dienen die §§ 113a ff. TKG und die §§ 100g, 101a StPO der Bekämpfung schwerer Straftaten und sind insoweit mit den Vorgaben der Datenschutzrichtlinie und der Rechtsprechung des EuGH vereinbar. Auch ist die vom EuGH angemahnte Präventivkontrolle (in Form eines Richtervorbehalts) gewahrt. Zweifel sind aber dahingehend angebracht, dass § 113b TKG die Verpflichtung der Telekommunikationsdiensteanbieter enthält, anlasslos und undifferenziert (d.h. flächendeckend) bestimmte Daten zu speichern. Das dürfte weder mit der Datenschutzrichtlinie noch mit der Rechtsprechung des EuGH in Einklang zu bringen sein.

Am Maßstab des Grundgesetzes gemessen, dürften die Anlasslosigkeit und die Undifferenziertheit ebenfalls nicht unproblematisch sein. Zwar hat das BVerfG mit Beschluss v. 8.6.2016 (1 BvQ 42/15; 1 BvR 229/16) zwei Anträge auf Erlass einer einstweiligen An­ordnung, die auf Außervollzugsetzung der Vorschriften über die Verkehrsdatenspeicherung gerichtet waren, abgewiesen. Jedoch ist zu beachten, dass das BVerfG bei Eilanträgen gem. § 32 BVerfGG grds. nur eine Abwägung der Folgen, die eine Außervollzugsetzung mit sich brächte, vornimmt. Eine summarische Prü­fung der Rechtslage findet bei § 32 BVerfGG (anders als bei §§ 80 V, 123 VwGO) grds. nicht statt. Von daher dürfte der Ausgang des Hauptsacheverfahrens völlig offen sein. Nach hiesiger Einschätzung wird das BVerfG die Verpflichtung zur anlasslosen (und flächendeckenden) Speicherung bestimmter Daten (§ 113b TKG) beanstanden und dem Gesetzgeber die Pflicht zur Nachbesserung auferlegen. 

R. Schmidt (4.1.2017)