EuGH kippt Richtlinie über die Vorratsdatenspeicherung

Hintergrund:
Mit der Richtlinie über die Vorratsspeicherung von Daten sollen in erster Linie die Vorschriften der Mitgliedstaaten über die Vorratsspeicherung bestimmter von den Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste oder den Betreibern eines öffentlichen Kommunikationsnetzes erzeugter oder verarbeiteter Daten harmonisiert werden. Sie soll damit sicherstellen, dass die Daten zwecks Verhütung, Ermittlung, Feststellung und Verfolgung von schweren Straftaten wie organisierter Kriminalität und Terrorismus zur Verfügung stehen.

Die Richtlinie sieht daher vor, dass die genannten Anbieter und Betreiber die Verkehrs- und Standortdaten sowie alle damit in Zusammenhang stehenden Daten, die zur Feststellung des Teilnehmers oder Benutzers erforderlich sind, auf Vorrat speichern müssen. Dagegen gestattet sie keine Vorratsspeicherung des Inhalts einer Nachricht und der abgerufenen Informationen.

Der Sachverhalt:
Der irische High Court und der österreichische Verfassungsgerichtshof ersuchen den EuGH um Prüfung der Gültigkeit der Richtlinie, insbes. im Licht von zwei durch die Charta der Grundrechte der EU gewährleisteten Grundrechten, und zwar des Grundrechts auf Achtung des Privatlebens sowie des Grundrechts auf Schutz personenbezogener Daten.

Der High Court hat über einen Rechtsstreit zwischen der irischen Gesellschaft Digital Rights und irischen Behörden wegen der Rechtmäßigkeit nationaler Maßnahmen zur Vorratsspeicherung von Daten elektronischer Kommunikationsvorgänge zu entscheiden. Der Verfassungsgerichtshof ist mit mehreren verfassungsrechtlichen Verfahren befasst, die von der Kärntner Landesregierung sowie von Herrn Seitlinger, Herrn Tschohl und 11.128 weiteren Antragstellern anhängig gemacht wurden und auf die Nichtigerklärung der nationalen Bestimmung zur Umsetzung der Richtlinie in österreichisches Recht gerichtet sind.

Der EuGH erklärte die Richtlinie nunmehr für ungültig.

Die Gründe:
Den auf Vorrat zu speichernden Daten ist zu entnehmen, mit welcher Person ein Teilnehmer oder registrierter Benutzer auf welchem Weg kommuniziert hat, wie lange die Kommunikation gedauert hat und von welchem Ort aus sie stattfand und wie häufig der Teilnehmer oder registrierte Benutzer während eines bestimmten Zeitraums mit bestimmten Personen kommuniziert hat. Aus all diesen Daten können sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten gespeichert werden, gezogen werden. In der Verpflichtung zur Vorratsspeicherung dieser Daten und der Gestattung des Zugangs der zuständigen nationalen Behörden zu ihnen ist ein besonders schwerwiegender Eingriff der Richtlinie in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten zu sehen.

Ein solcher Eingriff berührt zwar nicht den Wesensgehalt der Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten. Die Richtlinie gestattet nämlich nicht die Kenntnisnahme des Inhalts elektronischer Kommunikation als solchen und sieht vor, dass die Diensteanbieter bzw. Netzbetreiber bestimmte Grundsätze des Datenschutzes und der Datensicherheit einhalten müssen. Die Vorratsspeicherung der Daten zur etwaigen Weiterleitung an die zuständigen nationalen Behörden stellt auch eine Zielsetzung dar, die dem Gemeinwohl dient (Bekämpfung schwerer Kriminalität). Dennoch hat der Unionsgesetzgeber beim Erlass der Richtlinie den Grundsatz der Verhältnismäßigkeit verletzt.

Angesichts der besonderen Bedeutung des Schutzes personenbezogener Daten für das Grundrecht auf Achtung des Privatlebens und des Ausmaßes und der Schwere des mit der Richtlinie verbundenen Eingriffs in dieses Recht ist der Gestaltungsspielraum des Unionsgesetzgebers eingeschränkt, so dass die Richtlinie einer strikten Kontrolle unterliegt. Zwar ist die nach der Richtlinie vorgeschriebene Vorratsspeicherung zur Erreichung des mit ihr verfolgten Ziels geeignet, doch beinhaltet sie einen Eingriff von großem Ausmaß und von besonderer Schwere in die fraglichen Grundrechte, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

• Denn erstens erstreckt sich die Richtlinie generell auf sämtliche Personen, elektronische Kommunikationsmittel und Verkehrsdaten, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen.
• Zweitens ist kein objektives Kriterium vorgesehen, das es ermöglicht, den Zugang der zuständigen nationalen Behörden zu den Daten und deren Nutzung auf Straftaten zu beschränken, die im Hinblick auf das Ausmaß und die Schwere des Eingriffs in die fraglichen Grundrechte als so schwerwiegend angesehen werden können, dass sie einen solchen Eingriff rechtfertigen. Die Richtlinie nimmt im Gegenteil lediglich allgemein auf den Begriff der "schweren Straftaten" Bezug. Überdies enthält die Richtlinie keine materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung. Vor allem unterliegt der Zugang zu den Daten keiner vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle.
• Drittens schreibt die Richtlinie eine Dauer der Vorratsspeicherung der Daten von mindestens sechs Monaten vor, ohne dass eine Unterscheidung zwischen den Datenkategorien anhand der betroffenen Personen oder nach Maßgabe des etwaigen Nutzens der Daten für das verfolgte Ziel getroffen wird. Die Speicherungsfrist liegt zudem zwischen mindestens sechs und höchstens 24 Monaten, ohne dass die Richtlinie objektive Kriterien festlegt, die gewährleisten, dass die Speicherung auf das absolut Notwendige beschränkt wird.

Darüber hinaus bietet die Richtlinie keine hinreichenden Garantien dafür, dass die Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang und jeder unberechtigten Nutzung geschützt sind. So gestattet sie es den Diensteanbietern, bei der Bestimmung des von ihnen angewandten Sicherheitsniveaus wirtschaftliche Erwägungen (Kosten für Sicherheitsmaßnahmen) zu berücksichtigen, und gewährleistet nicht, dass die Daten nach Ablauf ihrer Speicherungsfrist unwiderruflich vernichtet werden. Und schließlich schreibt die Richtlinie keine Speicherung der Daten im Unionsgebiet vor und gewährleistet damit nicht, dass die Einhaltung der Erfordernisse des Datenschutzes und der Datensicherheit durch eine unabhängige Stelle überwacht wird. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten.

Linkhinweis:

• Der Volltext der Entscheidung wird auf den Webseiten des EuGH demnächst hier veröffentlicht.
• Für die Pressemitteilung des EuGH klicken Sie bitte hier.
• Dass massive Eingriffe in Persönlichkeitsrechte über IP-Adressen auch dann möglich sind, wenn sie nicht auf Vorrat gespeichert werden, hat unlängst der Fall Redtube gezeigt:  Härting, "Was man aus Redtube für den Datenschutz und die Vorratsdatenspeicherung lernen kann", CRonline Blog v. 23.1.2014