Warum Vorratsdaten nicht gleich Vorratsdaten sind: Bonnier Audio

Das EuGH-Urteil vom vergangenen Donnerstag in der Rechtssache Bonnier Audio hat - wie immer, wenn das Wort "Vorratsdaten" vorkommt - einige Aufregung ausgelöst. Vor allem Schlagzeilen wie "EU: Vorratsdaten gegen Filesharing erlaubt" oder "Raubkopien: EU erlaubt Identifizierung mit Vorratsdaten" erwecken den falschen Eindruck, der EuGH habe sich mit der Verwendung von "Vorratsdaten" im Sinne der Richtlinie 2006/24 über die Vorratsspeicherung von Daten befasst. Ich habe schon darauf hingewiesen (im Blog hier), dass die vom EuGH verwendete Wendung von "auf Vorrat" gespeicherten Daten nicht Vorratsdaten im Sinne der RL 2006/24 meint, möchte aber nochmals versuchen, etwas zum Verständnis des EuGH-Urteils beizutragen. Das soll zwar möglichst knapp sein, aber ein wenig ausholen muss ich zunächst doch:

Grundsatz: Verkehrsdaten löschen, sobald nicht mehr für Abrechnung notwendig
Für elektronische Kommunikationsnetze und -dienste gilt neben der allgemeinen Datenschutzrichtlinie 95/46/EG noch die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG. Was die Aufbewahrung von Verkehrsdaten betrifft (und damit auch die Aufbewahrung der Daten darüber, wer wann welche dynamische IP-Adresse genutzt hat), gibt es in Art 6 der Datenschutzrichtlinie für elektronische Kommunikation einen klaren Grundsatz: Verkehrsdaten sind zu löschen, sobald sie nicht mehr für die Übertragung der Nachricht oder für die Abrechnung erforderlich sind.

1. Ausnahme: mitgliedstaatlich gesetzlich geregelte Aufbewahrungspflichten im Einklang mit den Grundrechten

Von diesem Grundsatz - Löschen der Verkehrsdaten, sobald sie nicht mehr für die Abrechnung benötigt werden - gab es schon vor Inkrafttreten der Vorratsdatenrichtlinie eine wesentliche Ausnahme: nach Art 15 Abs 1 der RL 2002/58 konnten die Mitgliedstaaten nämlich vorsehen, dass auch Verkehrsdaten aus bestimmten Gründen länger aufbewahrt werden mussten. Der Wortlaut dieser Bestimmung ist durch die Verweistechnik recht unübersichtlich, ich fasse hier das Wesentliche zusammen: 

• Für eine nach Art 15 Abs 1 der RL 2002/58 zulässige Pflicht, Daten "auf Vorrat" zu halten, ist eine ausdrückliche Rechtsvorschrift erforderlich,
• die Aufbewahrung darf nur für eine begrenzte Zeit vorgeschrieben werden,
• sie muss aus einem der folgenden Gründe notwendig sein: nationale Sicherheit, Landesverteidigung,  öffentliche Sicherheit sowie Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen 
• sie muss in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig sein; 
• sie muss den allgemeinen Grundsätzen des Gemeinschaftsrechts entsprechen (unter anderem Achtung der Menschenrechte und Grundfreiheiten sowie der Rechtsstaatlichkeit) 

Mit anderen Worten: die Datenschutzrichtline für elektronische Kommunikation ermöglichte den Mitgliedstaaten immer schon - auch ohne Vorratsdatenrichtlinie - die Schaffung von Aufbewahrungspflichten für Verkehrsdaten, aber eben nur aus bestimmten legitimen Gründen, unter Abwägung der Verhältnismäßigkeit und Beachtung der Grundrechte. Die Mitgliedstaaten waren aber unionsrechtlich nicht verpflichtet, solche Aufbewahrungspflichten vorzusehen. 

2. Ausnahme: Richtlinie über die Vorratsspeicherung von Daten

Erst durch die Vorratsdatenrichtlinie wurden die Mitgliedstaaten verpflichtet, dafür Sorge zu tragen, dass bestimmte Verkehrsdaten von Kommunikationsdiensteanbietern "auf Vorrat gespeichert werden" (Art 3 der RL 2006/24). Diese Regelung bedeutete auf Unionsebene einen bewussten Paradigmenwechsel: die angefallenen Daten sollten - losgelöst vom ursprünglichen Zweck der Verarbeitung - verpflichtend für eine bestimmte Zeit gespeichert werden, dies "zum Zwecke der Ermittlung, Feststellung und Verfolgung von schweren Straftaten, wie sie von jedem Mitgliedstaat in seinem nationalen Recht bestimmt werden" (Art 1 Abs 1 der RL 2006/24). 

Zugleich wurden die Mitgliedstaaten zur Erlassung von Maßnahmen verpflichtet, "um sicherzustellen, dass die gemäß dieser Richtlinie auf Vorrat gespeicherten Daten nur in bestimmten Fällen und in Übereinstimmung mit dem innerstaatlichen Recht an die zuständigen nationalen Behörden weitergegeben werden". Im Zusammenhang mit der Zielsetzung der Richtlinie und ihrem in Art 1 umschriebenen Gegenstand ist davon auszugehen, dass der Zugang nur bei "schweren Straftaten" - wie immer diese im jeweiligen Mitgliedstaat auch definiert werden - zulässig ist. Auch geht es immer nur um die Weitergabe der Vorratsdaten an Behörden, nicht aber - wie im Fall Bonnier Audio - um einen privatrechtlichen Auskunftsanspruch eines Rechteinhabers gegenüber einem ISP.

Zwischenfazit: ein direkter Auskunftsanspruch von Rechteinhabern auf Vorratsdaten im Sinne der RL 2006/24 gegenüber ISPs ist schon deshalb ausgeschlossen, weil Vorratsdaten nach dieser RL nur an die zuständigen Behörden weitergegeben werden dürfen.

Zum Verhältnis zwischen Unionsrecht und dem Recht des Mitgliedstaats

Wenn ein Bereich durch eine Richtlinie harmonisiert ist, dürfen Mitgliedstaaten davon nicht abweichen (bzw nur soweit dies die Richtlinie selbst zulässt). Das klingt einfach, wird aber immer dann schwierig, wenn man sich fragt, was denn nun im Fall einer konkreten Richtlinie der Anwendungsbereich ist, in dem die Mitgliedstaaten nichts Abweichendes mehr regeln dürfen. Ginge man etwa davon aus, dass durch die VorratsdatenRL alle Verpflichtungen zum Speichern (und gegebenenfalls Weitergeben) von Daten aus Kommunikationsverbindungen abschließend geregelt werden sollten, dann wäre im Fall Bonnier Audio die im schwedischen Verfahren angestrebte Auskunft von vornherein unzulässig: die Vorschriften des Urheberrechts, die eine derartige Auskunft ermöglichen, wären dann nämlich evident richtlinienwidrig. 

Gerade das ist aber nicht der Fall, wie der EuGH nun ausgesprochen hat: "Die betreffenden [schwedischen Urheber-]Rechtsvorschriften fallen somit nicht in den sachlichen Anwendungsbereich der Richtlinie 2006/24" (RNr 45 des Urteils). Schon allein weil die RL 2006/24 den Art 15 Abs 1 der RL 2002/58 nicht geändert hat, sondern vielmehr ausdrücklich darauf Bezug nimmt (und einen Art 15 Abs 1a in die RL 2002/58 einfügt), fällt es schwer, eine Argumentation zu finden, die ein anderes Ergebnis begründen könnte.

Der normative Kern des Bonnier Audio-Urteils ist daher meines Erachtens ebenso klar wie unspektakulär: die VorratsdatenRL steht mitgliedstaatlichen Regelungen, die nach Art 15 Abs 1 der RL 2002/58 zulässig sind, nicht entgegen. 

Zum Vorabentscheidungsverfahren

Ist für Nichtjuristen schon das Verhältnis zwischen Unionsrecht und Recht des Mitgliedstaates oft dunkel, so gilt dies noch viel mehr für das Zusammenspiel zwischen dem EuGH und den nationalen Gerichten bei Vorabentscheidungsverfahren. In solchen Verfahren hat der EuGH nicht über nationale Gesetze oder Streitigkeiten zu entscheiden, sondern Fragen zur Auslegung (oder Gültigkeit) des Unionsrechts zu beantworten, die ihm von den nationalen Gerichten vorgelegt werden. Dabei formuliert er die Fragen zwar manchmal ein wenig um, manchmal (gerade auch im Fall Bonnier Audio, ab RNr 47) beantwortet er auch Fragen, die zumindest nicht ausdrücklich gestellt wurden, aber er ist grundsätzlich auf das angewiesen, was das nationale Gericht im Vorabentscheidungsersuchen dargelegt hat.

Im Fall Bonnier Audio wird dies vor allem in RNr 37 deutlich: der EuGH erklärt ausdrücklich, dass er "von der Prämisse ausgeht, dass die im Ausgangsverfahren in Rede stehenden Daten in Übereinstimmung mit den nationalen Rechtsvorschriften unter Beachtung der in Art. 15 Abs. 1 der Richtlinie 2002/58 festgelegten Voraussetzungen auf Vorrat gespeichert worden sind", und er betont, dass es Sache des vorlegenden Gerichts ist, dies zu prüfen. 

Ich halte diese Prämisse für ganz entscheidend: wäre der EuGH völlig sicher gewesen, dass die Daten, um die es ging, zulässigerweise auf einer gesetzlichen Grundlage im Sinne des Art 15 Abs 1 der RL 2002/58 "auf Vorrat gespeichert" wurden (besser wäre freilich iSd Art 15 Abs 1 RL 2002/58 die Formulierung: "während einer begrenzten Zeit aufbewahrt" wurden), so hätte er diesen nachdrücklichen Hinweis kaum für notwendig erachtet. Gerade mit der Betonung dieses Umstands, der vom vorlegenden Gericht nicht angesprochen wurde und der vom EuGH nicht geprüft werden konnte, macht der EuGH die Schwachstelle des gesamten Falles klar: die Frage, aus welchem Grund der ISP eigentlich (noch) über die Daten verfügte. 

Wären die Daten nach der VorratsdatenRL gespeichert worden, so wäre eine Auskunftserteilung jedenfalls unzulässig (die RL ist in Schweden allerdings noch nicht umgesetzt). Die Auskunftserteilung aus anderen Daten wiederum setzt voraus, dass der ISP diese Daten zum Zeitpunkt des Auskunftsersuchens zulässigerweise noch gespeichert hatte (etwa weil er bei mengenbezogener Abrechnung noch nicht Rechnung gelegt hatte, oder weil nationale Rechtsvorschriften im Einklang mit Art 15 Abs 1 der RL 2002/58 ihm die Speicherung aufgetragen haben). Wie das im konkreten Fall tatsächlich ist, bleibt im EuGH-Urteil notwendigerweise offen.

Zusammenfassung:

Daten aus der Vorratsdatenspeicherung im engeren Sinne (Daten, die auf Grundlage einer die RL 2006/24 umsetzenden Rechtsvorschrift gespeichert wurden) dürfen auch nach dem Bonnier Audio-Urteil nicht, wie in manchen Pressemeldungen befürchtet, "zur Identifizierung von Raubkopierern" im Rahmen privatrechtlicher Auskunftsansprüche herangezogen werden. Auf Verkehrsdaten, die auf Grund einer gesetzlichen Regelung im Sinne des Art 15 Abs 1 RL 2002/58 (noch) zulässig gespeichert sind, könnte aber nach Maßgabe allfälliger mitgliedstaatlicher Rechtsvorschriften nach einer im Einzelfall vorzunehmenden Verhältnismäßigkeitsprüfung sowie Interessenabwägung zurückgegriffen werden. 

In Österreich ist übrigens ein Auskunftsanspruch in § 87b Urheberrechtsgesetz geregelt. Der OGH hat dazu im LSG-Urteil (siehe dazu im Blog hier) ausgesprochen, dass eine Auskunft nicht zu erteilen ist, wenn der ISP dazu rechtswidrig Verkehrsdaten (wie dynamische IP-Adressen) verarbeiten müsste. Damit hat das EuGH-Urteil im Fall Bonnier Audio für Österreich aus zwei Gründen keine besondere Bedeutung (außer natürlich für die Diskussion um Reformen des Urheber- und/oder des Datenschutzrechts):  

• erstens besteht in Österreich keine Rechtsvorschrift, nach der ISPs Daten aus bestimmten Gründen  im Sinne des Art 15 Abs 1 der RL 2002/58  "während einer begrenzten Zeit aufbewahren" dürften oder gar müssten (dass Daten aus der Vorratsdatenspeicherung im engeren Sinn nicht für andere Zwecke verwendet werden dürfen, ergibt sich übrigens klar aus § 102b TKG 2003), und 
• zweitens besteht auch für die Verkehrsdaten, die etwa aus Abrechnungsgründen noch kurzfristig gespeichert sind, kein privatrechtlicher Auskunftsanspruch.

EuGH: Bonnier Audio - Auskunft über IP-Adressen von filesharern nur nach Abwägung im Einzelfall

Der EuGH hat heute das Urteil in der Rechtssache C-461/10 Bonnier Audio AB ua verkündet. In diesem Verfahren werden gleich zwei aktuell heiß umstrittene Themen angesprochen: Vorratsdatenspeicherung einerseits und Durchsetzung von Immaterialgüterrechten im digitalen Umfeld andererseits. Doch so spannend auch die Themen sind, das Urteil selbst bietet keine Überraschung und auch keine nennenswerten neuen Erkenntnisse. (Zu den Schlussanträgen habe ich hier geschrieben, das Urteil wurde schon auf internet-law.de, auf kLAWtext und natürlich bei EDRI besprochen).

Vorlagefragen
Das Urteil erging in einem Vorabentscheidungsverfahren, eingeleitet vom schwedischen Obersten Gerichtshof in einem Streit zwischen Rechteinhabern (konkret Herausgebern von Hörbüchern, unter anderem Bonnier Audio) und einem Internet Service Provider (ePhone), über dessen Server diese Hörbücher angeblich/vermutlich illegal verbreitet wurden. Bonnier Audio beantragte beim zuständigen Gericht eine Verfügung, wonach der ISP Auskunft über Name und Adresse jener Person erteilen sollte, der zu einem genau bezeichneten Zeitpunkt eine bestimmte IP-Adresse nutzte, von der angenommen wurde, dass von ihr aus die Daten übertragen wurden. Das Gericht fragte vor allem, ob die RL über die Vorratsspeicherung von Daten 2006/24/EG einer nationalen Vorschrift entgegensteht, die auf Grundlage von Art 8 der DurchsetzungsRL 2004/48/EG erlassen wurde, "und nach der in einem zivilrechtlichen Verfahren einem Internetdienstleister zu dem Zweck, einen bestimmten Teilnehmer identifizieren zu können, aufgegeben werden kann, einem Urheberrechtsinhaber oder dessen Vertreter Auskunft über den Teilnehmer zu geben, dem der Internetdienstleister eine bestimmte IP‑Adresse zugeteilt hat, von der aus dieses Recht verletzt worden sein soll". Wesentlich ist, dass schon das vorlegende Gericht der Frage folgenden Zusatz mitgab:

"Dabei ist davon auszugehen, dass der Antragsteller klare Beweise für eine Urheberrechtsverletzung vorgelegt hat und dass die Maßnahme verhältnismäßig ist."

Zum Urteil
Der EuGH hatte sich schon in den Rechtssachen C-275/06 Promusicae (im Blog dazu hier) und C-557/07 LSG (im Blog dazu hier) mit der Frage befasst, ob Auskunftspflichten von ISPs über IP-Adressen von vermuteten Rechteverletzern nach Unionsrecht geboten sind (insbesondere nach der DurchsetzungsRL 2004/48/EG), oder ob sie im Gegenteil vielleicht verboten sind (insbesondere nach der DatenschutzRL für elektronische Kommunikation 2002/58/EG). Das Ergebnis habe ich schon zum Promusicae-Fall sehr grob so zusammengefasst: "Kein Gebot [zu Speicherung und Auskunft], aber auch kein definitives Verbot - und über allem der Verhältnismäßigkeitsgrundsatz". Die Rechtssache Bonnier Audio ändert daran im Ergebnis nichts.

Der EuGH hält zunächst fest, dass er "von der Prämisse ausgeht, dass die im Ausgangsverfahren in Rede stehenden Daten in Übereinstimmung mit den nationalen Rechtsvorschriften unter Beachtung der in Art. 15 Abs. 1 der Richtlinie 2002/58 festgelegten Voraussetzungen auf Vorrat gespeichert worden sind".
Achtung: hier geht es - trotz der Wendung "auf Vorrat gespeichert" - nicht um die nach der VorratsdatenRL gespeicherten Vorratsdaten, sondern um Daten, die nach Art 15 Abs 1 der RL 2002/58 gestützt auf eine entsprechende Rechtsvorschrift - auf Vorrat "während einer begrenzten Zeit aufbewahrt" wurden. Diese sozusagen "klassische Vorratsdatenspeicherung" ist unter anderem zur "Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen" zulässig; muss darüberhinaus aber auch "in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig" sein.

Dann prüft der EuGH, ob durch die VorratsdatenRL auch die Speicherung und Verwendung von Daten für Zwecke zivilrechtlicher Verfahren zur Durchsetzung von Urheberrechten harmonisiert ist. Das ist nicht der Fall: Die VorratsdatenRL ist "eine klar abgegrenzte Spezialregelung [...], die von der allgemein geltenden Richtlinie 2002/58 [DatenschutzRL für elektronische Kommunikation] und insbesondere von deren Art. 15 Abs. 1 abweicht und an ihre Stelle tritt." Die Rechtsvorschriften des schwedischen Urheberrechtsgesetzes über die Auskunftspflicht bei Urheberrechtsverstößen "fallen somit nicht in den sachlichen Anwendungsbereich der Richtlinie 2006/24."

Damit bleibt die VorratsdatenRL für die Beurteilung solcher zivilrechtlicher Auskunftsansprüche in Urheberrechtsstreitigkeiten ganz außer Betracht. Der EuGH lässt es aber nicht damit bewenden, sondern weist von sich aus noch in einer Art Zusammenfassung der Grundsätze aus den Promusicae und LSG-Entscheidungen auf die notwendigen Abwägungen hin, die für die Frage der Zulässigkeit der Auskunft Bedeutung haben können, und prüft dann im Ergebnis die schwedische Rechtsvorschrift an diesem Maßstab.(Abs. 51 bis 60):

58   Nach den fraglichen nationalen Rechtsvorschriften müssen, damit eine Weitergabe der betreffenden Daten angeordnet werden kann, insbesondere klare Beweise für die Verletzung des Urheberrechts an einem Werk vorliegen, die begehrten Auskünfte müssen geeignet sein, die Untersuchung der Urheberrechtsverletzung oder ‑beeinträchtigung zu erleichtern, und die Gründe für die Anordnung müssen die Unannehmlichkeiten oder anderen Nachteile aufwiegen, die die Maßnahme für denjenigen, gegen den sie sich richtet, oder für andere entgegenstehende Interessen mit sich bringt.
59   Diese Rechtsvorschriften ermöglichen es somit dem nationalen Gericht, bei dem eine klagebefugte Person beantragt hat, die Weitergabe personenbezogener Daten anzuordnen, anhand der Umstände des Einzelfalls und unter gebührender Berücksichtigung der sich aus dem Grundsatz der Verhältnismäßigkeit ergebenden Erfordernisse eine Abwägung der einander gegenüberstehenden Interessen vorzunehmen.
60   In dieser Situation sind derartige Rechtsvorschriften als grundsätzlich geeignet anzusehen, um ein angemessenes Gleichgewicht zwischen dem Schutz des dem Urheberrechtsinhaber zustehenden Rechts des geistigen Eigentums und dem Schutz personenbezogener Daten, den ein Internetteilnehmer oder ‑nutzer genießt, sicherzustellen.

Der EuGH macht damit jedenfalls neuerlich klar, dass Auskunftspflichten einer Einzelfallüberprüfung - unter Abwägung der betroffenen Interessen - zu unterziehen und am Grundsatz der Verhältnismäßigkeit zu messen sind.

PS (update 22.04.2012): ein zweiter Versuch zu diesem Urteil hier.