Tuesday, April 08, 2014

EuGH-Urteil zur Richtlinie über die Vorratsspeicherung von Daten: ungültig, weil unverhältnismäßig

Der EuGH hat heute sein Urteil in den Rechtssachen C-293/12 Digital Rights Ireland und C-594/12 Seitlinger ua gefällt und die Richtlinie 2006/24 über die Vorratsspeicherung von Daten als mit Art 7 und 8 der Grundrechtecharta nicht vereinbar und die gesamte Richtlinie daher als ungültig beurteilt (Pressemitteilung des EuGH; Volltext des Urteils der Urteilstext war zunächst nur hier verfügbar). Eine Aussetzung der zeitlichen Wirkungen des Urteils (also eine Art Übergangsfrist bis zu einer Neuregelung) hat der EuGH nicht vorgesehen.

Der EuGH weicht aber nicht nur bei den zeitlichen Wirkungen des Urteils von den den Schlussanträgen von Generalanwalt Cruz Vilalón ab (siehe zu diesen die Pressemitteilung des EuGH und im Blog ausführlich hier). Der Generalanwalt hatte nämlich einen doch etwas ungewöhnlichen Zugang gewählt und die Richtline deshalb als mit der Grundrechtecharta nicht vereinbar beurteilt, weil sie nicht bereits selbst die unabdingbaren Grundsätze enthält, die die Mitgliedstaaten zur Beschränkung des Zugangs zu den Daten und ihrer Auswertung garantieren müssen (dieser Punkt kommt beim EuGH zwar auch vor, allerdings etwas versteckt in der Verhältnismäßigkeitsprüfung). Diesem fundamentaleren Ansatz ist der EuGH nicht gefolgt, sondern nimmt eine ganz straighte, klassische Grundrechtsprüfung vor, wie sie nach Art 52 der Grundrechtecharta vorgegeben ist.

Art 52 GRC verlangt nämlich, dass jede Einschränkung der Ausübung der in dieser Charta anerkannten Rechte und Freiheiten (1.) gesetzlich vorgesehen sein und (2.) den Wesensgehalt dieser Rechte und Freiheiten achten muss. Einschränkungen dürfen (3.) nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen, dies alles (4.) unter Wahrung des Grundsatzes der Verhältnismäßigkeit.

1. Grundrechtseingriff
Erster Prüfpunkt ist daher das Vorliegen einer Einschränkung (nach EMRK-Terminologie wöre das der "Eingriff"), die zwanglos und unstrittig bejaht wird, sowohl hinsichtlich des Art 7 (Achtung des Privat- und Familienlebens) als auch des Art 8 der GRC (Schutz personenbezogener Daten). Zu Art 7 stellt der EuGH zwei Eingriffe fest, einerseits schon die Speicherung durch die Betreiber (RNr 34), andererseits auch den Zugang der Behörden (RNr 35). Dere Eingriff in das nach Art 8 garantierte Recht liegt ohnehin auf der Hand, weil die VDS-RL eine Verarbeitung personenbezogener Daten vorsieht (RNr 36).

Ein Eingriff in Art 11 (Freiheit der Meinungsäußerung und Informationsfreiheit) wird nicht mehr gesondert geprüft, der EuGH hält aber "chilling effects" ausdrücklich nicht für ausgeschlossen (RNr 28) - würde also wohl, wäre die Richtlinie nicht schon nach Art 7 und 8 ungültig, auch einen Eingriff in das durch Art 11 GRC garantierte Recht bejahen.

2. Wesensgehalt
Den Wesensgehalt der Grundrechte sieht der EuGH durch die Eingriffe nicht verletzt: hinsichtlich des Art 7, weil die Richtlinie keine "die Kenntnisnahme des Inhalts elektronischer Kommunikation als solchen nicht gestattet" (RNr 39); ich hätte mir da etwas mehr an Ausführungen gewünscht, weshalb der Wesensgehalt des Schutzes der Privatsphäre erst bei Kenntnisnahme vom Inhalt angetastet werden kann, zumal der EuGH in RNr 26 und 27 darlegt, welche weitreichenden Schlüsse auf das Privatleben aus den gespeicherten Daten gezogen werden können.

Der Wesensgehalt des Rechts aus Schutz personenbezogener Daten wird nicht angegriffen, weil die Richtlinie selbst Vorschriften zu Datenschutz und Datensicherheit enthält (RNr 40)-.

3. Dem Gemeinwohl dienende Zielsetzung
Zu diesem Punkt dreht der EuGH etwas an der Rechtfertigungsschraube für die Richtlinie: ihrer Kompetenzgrundlage nach dient sie - wie mit dem Urteil C-301/06 Irland / Parlament und Rat (im Blog dazu hier) entschieden - der Harmonisierung im Binnenmarkt. Materielles Ziel der Richtlinie ist aber, wie der EuGH in RNr 41 des Urteils festhält, "zur Bekämpfung schwerer Kriminalität und somit letztlich zur öffentlichen Sicherheit beizutragen." Dass das eine dem Gemeinwohl dienende Zielsetzung ist, bedarf an sich keiner längeren Erklärung, der EuGH wird hier dennoch vergleichsweise ausführlich und bringt auch das durch Art 6 GRC garantierte Recht auf Freiheit und Sicherheit ins Spiel - unter Betonung der Sicherheit (RNr 42-44).

4. Verhältnismäßigkeit
Damit sind wir auch schon beim letzten und naturgemäß unschärfsten Bereich, der Verhältnismäßigkeitsprüfung. Maßnahmen sind nur verhältnismäßig, wenn sie "geeignet sind, die mit der fraglichen Regelung zulässigerweise verfolgten Ziele zu erreichen, und nicht die Grenzen dessen überschreiten, was zur Erreichung dieser Ziele geeignet und erforderlich ist." (RNr 46)

- eingeschränkter Gestaltungsspielraum
Erster Eckpunkt der Analyse des EuGH ist, dass angesichts der "besonderen Bedeutung des Schutzes personenbezogener Daten für das Grundrecht auf Achtung des Privatlebens und des Ausmaßes und der Schwere des mit der Richtlinie 2006/24 verbundenen Eingriffs in dieses Recht der Gestaltungsspielraum des Unionsgesetzgebers eingeschränkt [ist], so dass die Richtlinie einer strikten Kontrolle unterliegt." (Hervorhebung hinzugefügt)

- Richtlinie ist ein geeignetes Mittel
Der EuGH hält auch fest, dass die nach der Richtlinie zu speichernden Daten "ein nützliches Mittel für strafrechtliche Ermittlungen darstellen" und die Vorratsspeicherung solcher Daten "als zur Erreichung des mit der Richtlinie verfolgten Ziels geeignet angesehen werden" kann (RNr 49)

- Erforderlichkeit der Maßnahmen?
Die - anerkannt dem Gemeinwohl dienende - Zielsetzung - auch wenn sie "von größter Bedeutung für die Gewährleistung der öffentlichen Sicherheit ist" und "so grundlegend sie auch sein mag" - reicht aber für den EuGH nicht, für sich genommen die Erforderlichkeit der Speicherungsmaßnahmen für die Kriminalitätsbekämpfung zu rechtfertigen (RNr 51).

- Verhältnismäßigkeitsprüfung im engeren Sinn
Der EuGH nimmt sodann die Verhältnismäßigkeitsprüfung im engeren Sinne vor. In RNr 54 heißt es dazu:
Daher muss die fragliche Unionsregelung klare und präzise Regeln für die Tragweite und die Anwendung der fraglichen Maßnahme vorsehen und Mindestanforderungen aufstellen, so dass die Personen, deren Daten auf Vorrat gespeichert wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen [...]
-- zu weitgehende Daten, keine Ausnahmen
Zur Frage, ob sich der Eingriff auf das absolut Notwendige beschränkt, hält der EuGH fest, dass sich die Richtlinie auf alle elektronischen Kommunikationsmittel erstreckt, auf alle Teilnehmer und Benutzer und auf sämtliche Verkehrsdaten ohne Differenzierung anhand des Ziels der Bekämpfung schwerer Straftaten (RNr 56-57). Und den RichterInnen des EuGH ist offenkundig bewusst, dass die RL auch sie selbst betrifft: "Die Richtlinie gilt auch für Personen, bei denen keinerlei Anhaltspunkt dafür besteht, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten stehen könnte." Hinzu kommt, dass keine Ausnahmen für Berufsgeheimnisträger bestehen (RNr 58). In RNr 59 eröffnet das Urteil Möglichkeiten für zeitlich/örtlich oder nach dem Personenkreis abgegrenzte Vorratsdatenspeicherung:
Zum anderen soll die Richtlinie zwar zur Bekämpfung schwerer Kriminalität beitragen, verlangt aber keinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen ist, und einer Bedrohung der öffentlichen Sicherheit; insbesondere beschränkt sie die Vorratsspeicherung weder auf die Daten eines bestimmten Zeitraums und/oder eines bestimmten geografischen Gebiets und/oder eines bestimmten Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, noch auf Personen, deren auf Vorrat gespeicherte Daten aus anderen Gründen zur Verhütung, Feststellung oder Verfolgung schwerer Straftaten beitragen könnten.
Daraus muss man wohl schließen, dass Vorratsdatenspeicherung zulässig sein könnte, wenn sie sich zB auf ein kriminalitätsbelastetes Viertel (bestimmtes geografisches Gebiet) und/oder auf einen abgegrenzten Zeitraum beschränkt (vielleicht gewalttätige Proteste - der Wiener Polizei würde da schon was einfallen).

-- keine ausreichenden Vorgaben für die Beschränkung des nationalen Datenzugriffs
In RNr 60-62 des Urteils nimmt der EuGH dann die zentralen Überlegungen des Generalanwalts auf: die Richtlinie sieht nämlich, so der EuGH, kein objektives Kriterium vor, "das es ermöglicht, den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung [...] auf Straftaten zu beschränken, die im Hinblick auf das Ausmaß und die Schwere des Eingriffs in die in Art. 7 und Art. 8 der Charta verankerten Grundrechte als hinreichend schwer angesehen werden können, um einen solchen Eingriff zu rechtfertigen." Es fehlt auch die ausdrückliche Anordnung, dass der Zugang zu diesen Daten und deren spätere Nutzung "strikt auf Zwecke der Verhütung und Feststellung genau abgegrenzter schwerer Straftaten oder der sie betreffenden Strafverfolgung zu beschränken sind"; weiters sieht die Richtlinie kein objektives Kriterium vor, das es erlaubt, die Zahl der Personen, die zum Zugang zu den auf Vorrat gespeicherten Daten und zu deren späterer Nutzung befugt sind, auf das angesichts des verfolgten Ziels absolut Notwendige zu beschränken. Und schließlich unterliegt der Zugang der zuständigen nationalen Behörden zu den auf Vorrat gespeicherten Daten keiner vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle, deren Entscheidung den Zugang zu den Daten und ihre Nutzung auf das zur Erreichung des verfolgten Ziels absolut Notwendige beschränken soll und im Anschluss an einen mit Gründen versehenen Antrag der genannten Behörden im Rahmen von Verfahren zur Verhütung, Feststellung oder Verfolgung von Straftaten ergeht. Auch sieht die Richtlinie keine präzise Verpflichtung der Mitgliedstaaten vor, solche Beschränkungen zu schaffen.

-- Speicherfrist undifferenziert und nicht zwingend nach objektiven Kriterien festzulegen
Der EuGH stößt sich auch daran, dass die Richtlinie bei der Speicherdauer nicht zwischen den verschiedenen Datenkategorien nach Maßgabe des Nutzens oder anhand der betroffenen Personen differenziert wird (RNr 63) und dass den Mitgliedstaaten bei der Speicherfrist die freie Wahl im Rahmen von sechs bis 24 Monaten gelassen wird, ohne dass die Festlegung auf objektiven Kriterien beruhen muss, die die gewährleisten, dass sie auf das absolut Notwendige beschränkt wird (RNr 64).

Ergebnis 1: keine klaren und präzisen Regeln, um Eingriff auf das absolut Notwendige zu beschränken
Aus dem Vorstehenden folgt, dass die Richtlinie 2006/24 keine klaren und präzisen Regeln zur Tragweite des Eingriffs in die in Art. 7 und Art. 8 der Charta verankerten Grundrechte vorsieht. Somit ist festzustellen, dass die Richtlinie einen Eingriff in diese Grundrechte beinhaltet, der in der Rechtsordnung der Union von großem Ausmaß und von besonderer Schwere ist, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt. [RNr 65]
Ergebnis 2: keine ausreichenden Garantien für Verhinderung des Missbrauchs von Daten
Die Richtlinie enthält auch keine ausreichenden Garantien dafür, "dass die auf Vorrat gespeicherten Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu ihnen und jeder
unberechtigten Nutzung geschützt sind."
Dem EuGH fehlen spezielle Regeln, "die der großen nach der Richtlinie auf Vorrat zu speichernden Datenmenge, dem sensiblen Charakter dieser Daten und der Gefahr eines unberechtigten Zugangs zu ihnen angepasst sind", und es gibt auch keine präzise Verpflichtung der Mitgliedstaaten vor, solche Regeln zu schaffen (RNr 66). Die Richtlinie gewährleistet auch nicht, dass die Betreiber durch technische und organisatorische Maßnahmen für ein besonders hohes Schutz- und Sicherheitsniveau sorgen, sondern gestattet es ihnen unter anderem "bei der Bestimmung des von ihnen angewandten Sicherheitsniveaus wirtschaftliche Erwägungen hinsichtlich der Kosten für die Durchführung der Sicherheitsmaßnahmen zu berücksichtigen." Die Richtlinie gewährleistet auch nicht, dass die Daten nach Ablauf ihrer Speicherungsfrist unwiderruflich vernichtet werden.

Schließlich rügt der EuGH auch, dass die Richtlinie nicht die Speicherung der Daten im Unionsgebiet vorschreibt, wodurch "es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der [...] Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten [...]." [Dass etwas "nicht als vollumfänglich gewährleistet angesehen werden kann" heißt übersetzt etwa so viel wie: niemand glaubt das wirklich] Und wer hätte übrigens gedacht, dass die Überwachung etwa durch die österreichische oder gar die irische Datenschutzbehörde diesen Stellenwert hat!

Gesamtergebnis: unverhältnismäßiger Eingriff
Aus der Gesamtheit der vorstehenden Erwägungen ist zu schließen, dass der Unionsgesetzgeber beim Erlass der Richtlinie 2006/24 die Grenzen überschritten hat, die er zur Wahrung des Grundsatzes der Verhältnismäßigkeit im Hinblick auf die Art. 7, 8 und 52 Abs. 1 der Charta einhalten musste.
Update 08.04.2014 (nachmittags): Siehe nun auch die "Fortsetzung" zu den Folgen des Urteils für die nationale Rechtsordnung hier im Blog.

Laufendes Update: Weitere Blogposts von anderen AutorInnen zu diesem Urteil (zB)
---
PS: Die eher akademisch, um nicht zu sagen hypothetisch wirkenden Fragen 2a bis 2e des österreichischen Verfassungsgerichtshofes ließ auch der EuGH - wie schon der Generalanwalt - unbeantwortet.

No comments :