Wednesday, December 21, 2016

EuGH: generelle Vorratsdatenspeicherung auf nationaler Ebene mit der Datenschutzrichtlinie für elektronische Kommunikation nicht vereinbar

Der EuGH hat in seinem heutigen, in der Großen Kammer gefassten, Urteil in den verbundenen Rechtssachen C-203/15 Tele2 Sverige und C-698/15 Watson ua ausgesprochen, dass das Unionsrecht einer nationalen Regelung entgegensteht, die eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrsdaten vorsieht (Urteil, Pressemitteilung des EuGH). Es ist ein wichtiges, aber in der Sache kein überraschendes Urteil. Neu ist, dass der EuGH in einem Punkt ausdrücklich auf Bedrohungen durch terroristische Aktivitäten eingeht und für diesen Fall eine (begrenzte) Möglichkeit lässt, auf Vorratsdaten zuzugreifen.

Zur Vorgeschichte
Nachdem der EuGH mit Urteil vom 8. April 2014 die Richtlinie über die Vorratsspeicherung von Daten für ungültig erklärt hatte (zu diesem Urteil im Blog hier und hier), entstand rasch eine juristische (und mehr noch politische) Diskussion über die Möglichkeit, die auf Unionsebene beseitigte Verpflichtung zur Vorratsdatenspeicherung auf nationaler Ebene wieder einzuführen. So meinte etwa die Kommission, dass das EuGH-Urteil die Mitgliedstaaten nicht daran hindere, eine nationale Verpflichtung zur Vorratsdatenspeicherung einzuführen (in ihren FAQs zum EuGH-Urteil schrieb die Kommission: "a finding of invalidity of the Directive does not cancel the ability for Member States under the e-Privacy Directive (2002/58/EC) to oblige retention of data.").

Dass das so nicht stimmt, habe ich schon am Tag des EuGH-Urteils geschrieben (siehe diesen Beitrag im Blog); aus juristischer Sicht konnte es daran meines Erachtens auch wenig Zweifel geben, jedenfalls wenn sich die Rechtsauffassung des EuGH nicht ändern würde.

Dennoch wollten es mehrere Mitgliedstaaten darauf ankommen lassen und behielten die nationalen Regeln bei (zB Schweden) oder führten sogar neue Regeln ein (zB das Vereinigte Königreich). Wenig überraschend kam es daraufhin zu Vorabentscheidungsersuchen aus Schweden und dem UK, die der EuGH zur gemeinsamen Entscheidung verbunden hat.

(In Österreich hob der VfGH die nationalen Regelungen nach dem EuGH-Urteil auf, siehe im Blog dazu hier und hier.)

Das Urteil

- Anwendungsbereich des Unionsrechts
Das heute gefällte Urteil des EuGH stellt zunächst klar, dass Regelungen über die Vorratsdatenspeicherung in den Anwendungsbereich des Unionsrechts fallen. Maßgeblich ist dazu die Auslegung der Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58), insbesondere deren Art. 15 Abs. 1. Diese Bestimmung lautet:
Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Rechte und Pflichten gemäß Artikel 5 [Vertraulichkeit der Kommunikation], Artikel 6 [Verkehrsdaten], Artikel 8 Absätze 1, 2, 3 und 4 sowie Artikel 9 dieser Richtlinie beschränken, sofern eine solche Beschränkung gemäß Artikel 13 Absatz 1 der Richtlinie 95/46/EG für die nationale Sicherheit, (d. h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig ist. Zu diesem Zweck können die Mitgliedstaaten unter anderem durch Rechtsvorschriften vorsehen, dass Daten aus den in diesem Absatz aufgeführten Gründen während einer begrenzten Zeit aufbewahrt werden. Alle in diesem Absatz genannten Maßnahmen müssen den allgemeinen Grundsätzen des Gemeinschaftsrechts einschließlich den in Artikel 6 Absätze 1 und 2 des Vertrags über die Europäische Union niedergelegten Grundsätzen entsprechen.
Strittig war vor dem EuGH vor allem, ob nicht nur die Regeln über die Datenspeicherung selbst in den Anwendungsbereich des Unionsrechts fallen (da konnte man seriöserweise kaum anderer Ansicht sein), sondern auch die Regeln über den Zugriff zu diesen Daten durch die nationalen Behörden und Gerichte. Der EuGH verwies darauf, dass die Daten ja nur deshalb gespeichert werden müssen, damit die nationalen Behörden, wenn notwendig, darauf zugreifen können. Mitgliedstaatliche Regelungen, die eine Vorratsdatenspeicherung vorschreiben, setzten daher grundsätzlich auch Regelungen voraus, die den Zugang der Behörden zu den Daten betreffen.

Zur Auslegung des Art. 15 Abs. 1 der RL 2002/58:
Der EuGH verweist dazu zunächst darauf, dass mit der RL 2002/58 gewährleistet werden soll, dass die in den Artikeln 7 und 8 der Grundrechtecharta niedergelegten Rechte "uneingeschränkt geachtet werden" und dass daher ein hoher Standard des Schutzes persönlicher Daten und des Privatlebens garantiert werden soll. Dazu gibt es eben in der RL den Grundsatz der Vertraulichkeit der Kommunikation und Einschränkungen für die Verarbeitung von Verkehrs- und Standortdaten.

Zwar erlaubt Art. 15 Abs. 1 der RL 2002/58 den Mitgliedstaaten die Schaffung von Ausnahmen zum Grundsatz der Vertraulichkeit der Kommunikation, doch muss diese Ausnahmemöglichkeit eng ausgelegt werden. Art. 15 Abs. 1 erlaubt es daher nicht, dass die Ausnahme vom Grundsatz der Vertraulichkeit der Kommunikation geradezu zum Regelfall wird.

Dazu hält der EuGH fest, dass die Liste der Zwecke, zu denen eine Abweichung von den Grundsätzen der Richtlinie zulässig ist (nationale Sicherheit etc.), erschöpfend ist. Für andere als in Art. 15 Abs. 1 der RL 2002/58 ausdrücklich genannte Zwecke kann eine Vorratsdatenspeicherung nicht vorgeschrieben werden.

Weiters müssen alle nationalen Maßnahmen in diesem Bereich mit den allgemeine Grundsätzen des Unionsrechts und (nun) der Grundrechtecharta übereinstimmen und daher im Lichte der Grundrechtecharta ausgelegt werden. Bemerkenswert ist, dass der EuGH dann nicht nur die Art. 7 und 8 der Grundrechtecharta hervorhebt, sondern - deutlich mehr als im Vorratsdaten-Urteil Digital Rights Ireland und Seitlinger - auch Art. 11, die Freiheit der Meinungsäußerung; das wirkt fast wie ein Nachtrag zum Digital Rights-Urteil. In Rn 93 heißt es:
Folglich muss die Bedeutung sowohl des in Art. 7 der Charta gewährleisteten Grundrechts auf Achtung des Privatlebens als auch des in Art. 8 der Charta gewährleisteten Grundrechts auf Schutz personenbezogener Daten, wie sie sich aus der Rechtsprechung des Gerichtshofs ergibt [...], bei der Auslegung von Art. 15 Abs. 1 der Richtlinie 2002/58 berücksichtigt werden. Das Gleiche gilt in Anbetracht der besonderen Bedeutung, die der Freiheit der Meinungsäußerung in jeder demokratischen Gesellschaft zukommt, für das Recht auf freie Meinungsäußerung. Dieses in Art. 11 der Charta gewährleistete Grundrecht stellt eine der wesentlichen Grundlagen einer demokratischen und pluralistischen Gesellschaft dar, die zu den Werten gehört, auf die sich die Union nach Art. 2 EUV gründet [...].
Soweit das schwedische Recht betroffen ist, das ja der Umsetzung der (inzwischen ungültig erklärten) Vorratsdaten-RL diente, hätte sich der EuGH auch mit einem einfachen Verweis auf das Vorratsdaten-Urteil Digital Rights Ireland und Seitlinger begnügen können. In einer wohl eher didaktisch zu verstehenden Genauigkeit (oder um das heutige Urteil nicht allzu dünn aussehen zu lassen), legt er aber in der Folge doch ausführlich dar, was - wie eben im Digital Rights-Urteil schon ausgeführt - die flächendeckende undifferenzierte Vorratsdatenspeicherung mit der Grundrechtecharta (und damit mit Art. 15 Abs. 1 der RL 2002/58) unvereinbar macht.

Eine gezielte Speicherung von Verkehrs- und Standortdaten zur Bekämpfung schwerer Verbrechen kann aber (auch das ist nichts Neues, sondern geht schon aus dem Digital Rights-Urteil hervor) schon unter bestimmten Voraussetzungen zulässig sein (Rn 108):
Hingegen untersagt Art. 15 Abs. 1 der Richtlinie 2002/58 im Licht der Art. 7, 8 und 11 sowie des Art. 52 Abs. 1 der Charta einem Mitgliedstaat nicht, eine Regelung zu erlassen, die zur Bekämpfung schwerer Straftaten vorbeugend die gezielte Vorratsspeicherung von Verkehrs- und Standortdaten ermöglicht, sofern die Vorratsdatenspeicherung hinsichtlich Kategorien der zu speichernden Daten, der erfassten elektronischen Kommunikationsmittel, der betroffenen Personen und der vorgesehenen Dauer der Vorratsspeicherung auf das absolut Notwendige beschränkt ist.
Zugang zu Daten in "besonderen Situationen" im Falle terroristischer Aktivitäten
Etwas genauer wird der EuGH dann in seiner Antwort zur zweiten schwedischen (und ersten britischen) Vorlagefrage. Da die nach Art. 15 Abs. 1 der RL 2002/58 ausnahmsweise gestatteten Maßnahmen "angemessene Garantien" vorzusehen haben, müssen die nationalen Regeln jedenfalls auch die materiellen und prozessrechtlichen Bedingungen für den Zugang der Behörden zu den Daten regeln. Als allgemeine Regel, so legt der EuGH sodann unter Bezugnahme auf das Urteil des EGMR im Fall Zakharov fest, darf der Zugang nur zu den Daten von einzelnen Personen gewährt werden, die verdächtig sind, ein schweres Verbrechen geplant oder begangen zu haben, oder die in irgendeiner Weise in eine solche Straftat verwickelt waren. In besonderen Situationen, wenn etwa wichtige nationale Sicherheits- oder Verteidigungsinteressen durch terroristische Aktiväten gefährdet sind, könnte Zugang auch zu Daten anderer Personen gewährt werden, wenn es objektive Anhaltspunkte gibt, von denen abgeleitet werden kann, dass diese Daten - im konkreten Fall - einen effektiven Beitrag zur Bekämpfung dieser Aktivitäten leisten können. Diese Weiterentwicklung (oder besser: Präzisierung) der Digital Rights-Rechtsprechung ist meines Erachtens die wichtigste Neuerung des heutigen Urteils. In Rn 119 heißt es wörtlich:
Insoweit darf im Zusammenhang mit dem Zweck der Bekämpfung von Straftaten Zugang grundsätzlich nur zu den Daten von Personen gewährt werden, die im Verdacht stehen, eine schwere Straftat zu planen, zu begehen oder begangen zu haben oder auf irgendeine Weise in eine solche Straftat verwickelt zu sein (vgl. entsprechend Urteil des Europäischen Gerichtshofs für Menschenrechte vom 4. Dezember 2015, Zakharov/Russland, CE:ECHR:2015:1204JUD004714306, Rn. 260). Allerdings könnte in besonderen Situationen wie etwa solchen, in denen vitale Interessen der nationalen Sicherheit, der Landesverteidigung oder der öffentlichen Sicherheit durch terroristische Aktivitäten bedroht sind, der Zugang zu Daten anderer Personen ebenfalls gewährt werden, wenn es objektive Anhaltspunkte dafür gibt, dass diese Daten in einem konkreten Fall einen wirksamen Beitrag zur Bekämpfung solcher Aktivitäten leisten könnten.
Der Zugang muss, außer in Fällen nachweislicher Dringlichkeit, zuvor von einem Gericht oder einer unabhängigen Behörde genehmigt werden (Rn. 120). Weiters müssen die Behörden die betroffenen Personen informieren, sobald dies die Ermittlungen nicht mehr gefährdet. Die Daten müssen im Unionsgebiet gespeichert werden und schließlich müssen die Mitgliedstaaten in jedem Fall eine Überprüfung durch eine unabhängige Behörde gewährleisten.

Ging der EuGH über Art. 8 EMRK hinaus?
Dass die zweite Frage des vorlegenden britischen Gerichts eher, vorsichtig formuliert, merkwürdig war, habe ich hier schon angemerkt. Das Gericht wollte wissen, ob das EuGH-Digital Rights Ireland "den Anwendungsbereich von Art. 7 und/oder Art. 8 der Charta über den Anwendungsbereich von Art. 8 EMRK, wie er in der Rechtsprechung des EGMR festgestellt ist," hinausgeht.

Der EuGH gibt dieser Frage die passende - nämlich keine - Antwort: Aufgabe des EuGH ist es nicht, hypothetische Fragen von allenfalls akademischem Interesse zu beantworten. Die Frage wurde daher als unzulässig beurteilt: "Nach ständiger Rechtsprechung des Gerichtshofs liegt die Rechtfertigung für ein Vorabentscheidungsersuchen jedoch nicht in der Abgabe von Gutachten zu allgemeinen oder hypothetischen Fragen, sondern darin, dass das Ersuchen für die tatsächliche Entscheidung eines Rechtsstreits über das Unionsrecht erforderlich ist". (Hinsichtlich der in der Sache ähnlichen, aber etwas besser formuliert, vom VfGH in der Rechtssache Seitlinger gestellten Fragen ging der EuGH etwas diplomatischer vor: er beantwortete sie zwar nicht, wies sie aber auch nicht ausdrücklich als unzulässig zurück; siehe dazu das "PS" in diesem Blogbeitrag).

Conclusio:
Die Schlussfolgerung aus dem heutigen Urteil: dass eine Blanko-Vorratsdatenspeicherung mit der Grundrechtecharta unvereinbar ist, stellt keine Überraschung dar. Auch das heutige Urteil bedeutet aber (weiterhin) nicht, dass jegliche Vorratsdatenspeicherung unzulässig wäre. In der Zusammenschau zwischen dem Urteil in den Rechtssachen Digital Rights Ireland und Seitlinger und dem heutigen Urteil lässt sich nun wieder ein kleines Stück klarer bestimmen, welche Voraussetzungen eine zulässige Vorratsdatenspeicherung erfüllen müsste. Nach wie vor (wie bereits hier am Tag des Digital Rights-Urteils geschrieben) glaube ich, dass die Anforderungen des EuGH an eine zulässige Vorratsdatenspeicherung zwar schwer zu erfüllen sind, aber nicht schlichtwegs unerfüllbar wären.

PS/Nachtrag: zur kommenden Datenschutzverordnung für elektronische Kommunikation
Auf Twitter wurde ich gefragt, wie das mit der kommenden Datenschutzverordnung für elektronische Kommunikation aussehen wird. Diese Verordnung soll ja - wenn möglich zeitgleich mit der Datenschutz-Grundverordnung - auf Unionsebene die aktuelle Datenschutzrichtlinie für elektronische Kommunikation ablösen. Der Vorschlag der Kommission dazu ist für kommenden Jänner angekündigt; das Magazin Politico hat aber einen (erkennbar noch nicht endgültigen) Entwurf für diesen Vorschlag veröffentlicht.

Aus meiner Sicht würde dieser Entwurf, wenn er in dieser Form schließlich beschlossen würde, nichts ändern. Auch nach dem Verordnungsentwurf bleiben die Grundprinzipien der Vertraulichkeit der Kommunikation (Art. 5 des Entwurfs) und des möglichst umgehenden Löschens von Verkehrsdaten (Art. 6 und 7) bestehen; und auch nach dem Verordnungsentwurf können die Mitgliedstaaten Beschränkungen dieser Prinzipien vorsehen, allerdings wiederum nur zu Zwecken, wie sie derzeit in Art. 15 Abs. 1 der RL 2002/58 genannt sind, und in Übereinstimung mit der Grundrechtecharta, insbesondere deren Art. 7, 8, 10 und 52 (siehe im Detail Art. 11 Abs. 1 des Entwurfs).

Aber bis die Verordnung, wenn sie vom Entwurf erst einmal zum offiziellen Kommissionsvorschlag geworden ist, dann zwischen Rat und Parlament ausverhandelt ist, wird wohl noch einige Zeit vergehen. Die Kommission möchte das möglichst rasch erledigen, um den Gleichklang mit der Datenschutz-Grundverordnung zu schaffen, und hat wohl auch aus diesem Grund von allzu großen Änderungen im bewährten Rechtsbestand abgesehen.

Ich gehe aber davon aus, dass die Verfechter der Vorratsdatenspeicherung, von denen es in den Mitgliedstaaten und auch im Parlament recht viele gibt, ihre Anstrengungen nun darauf konzentrieren werden, vor dem Hintergrund aktueller Terroranschläge erweiterte Ausnahmemöglichkeiten für eine nationale Vorratsdatenspeicherung in die Verordnung hinein zu reklamieren. Da jedoch der Umgang von Kommunikationsdiensteanbietern mit ihren Verkehrs- und Standortdaten schwerlich zur Gänze aus der Verordnung herausgenommen werden kann, ist es auch kaum vorstellbar, dass nationale Regeln zur Vorratsdatenspeicherung jemals gänzlich aus dem Anwendungsbereich des Unionsrechts herausfallen könnten.

Damit bleibt es aber jedenfalls bei der Anwendbarkeit der Grundrechtecharta: nationale Regelungen werden sich weiter an den in dieser Charta verbrieften Grundrechten (in der Auslegung durch den EuGH, insbesondere im Digital Rights-Urteil) messen lassen müssen, und zwar ganz unabhängig davon, was letztlich im Verordnungstext konkret zu den möglichen nationalen Ausnahmen steht (würden hier zu weite Ausnahmen ermöglicht, würde dies auch zur Ungültigkeit dieser Bestimmungen der Verordnung führen),

Und selbst wenn man irgendwie ganz am Anwendungsbereich des Unionsrechts vorbeikäme (was eher unrealistisch ist), so bleibt man als Mitgliedstaat auch des Europarates immer noch den Bestimmungen der EMRK verpflichtet, was wieder - über Art. 8 EMRK - letztlich im Wesentlichen wohl auf das selbe hinausliefe, nämlich auf die Unzulässigkeit der anlasslosen flächendeckenden Vorratsdatenspeicherung. Das ist übrigens auch ein Szenario für das Vereinigte Königreich: auch wenn der Brexit vollzogen wird, ändert sich nichts an der völkerrechtlichen Verpflichtung des UK zur Einhaltung der EMRK.

(Zum heutigen Urteil, insbesondere auch zu den Auswirkungen auf das UK, siehe nun auch Angela Patrick auf Inforrm's Blog und - besonders ausführlich und mit einer Abschätzung der Auswirkungen auf Datenschutzfragen zwischen einem post-Brexit-UK und der EU im Allgemeinen - auch Cybermatron, "Independent Reviewer of Terrorism Legislation" und Amberhawk; update 13.01.2017: siehe nun auch Orla Lynskey auf European Law Blog).

Update 08.03.2017: mit Urteil vom 07.03.2017 hat das Stockholmer Berufungsgericht die Entscheidung der Regulierungsbehörde, mit der Tele2 zur Vorratsdatenspeicherung verpflichtet war, aufgehoben, da die nationalen Rechtsvorschriften wegen Widerspruchs zum Unionsrecht nicht anzuwenden sind (Urteil; Pressemitteilung - beides in schwedischer Sprache). 

1 comment :

David Ernst said...

Ich denke es liegt eine semantische Differenz vor. Eine "gezielte Speicherung von Verkehrs- und Standortdaten zur Bekämpfung schwerer Verbrechen" ist nach meinem Verständnis eben keine Vorratsspeicherung mehr. Der wesentliche Unterschied zwischen diesem und anderen Urteilen zum Thema ist, dass jetzt erstmals schon das Speichern als Grundrechtseingriff angehesehen und daher stark eingeschränkt wurde.

Kaum ein Bürgerrechtler lehnt kategorisch ab, dass in bestimmten konkreten Verdachtsfällen auch Verkehrs- und Standortdaten gespeichert weren dürfen. Ich sehe nicht wie man da von Vorrat sprechen kann.

Andererseits, falls es zur Gesichtswahrung der betroffenen Innenpolitiker ausreicht ein eventuelles neues Gesetz einfach weiterhin kontrafaktisch als Vorratsdatenspeicherung zu bezeichnen, so soll mir das auch Recht sein. Mir geht es um den Inhalt, nicht den Namen.