EuGH kippt Richtlinie über die Vorratsdatenspeicherung

Die Richt­li­nie sieht da­her vor, dass die ge­nann­ten An­bie­ter und Be­trei­ber die Ver­kehrs- und Stand­ort­da­ten so­wie alle da­mit in Zu­sam­men­hang ste­hen­den Da­ten, die zur Fest­stel­lung des Teil­neh­mers oder Be­nut­zers er­for­der­lich sind, auf Vor­rat spei­chern müssen. Da­ge­gen ge­stat­tet sie keine Vor­rats­spei­che­rung des In­halts ei­ner Nach­richt und der ab­ge­ru­fe­nen In­for­ma­tio­nen.

Der Sach­ver­halt:
Der iri­sche High Court und der öster­rei­chi­sche Ver­fas­sungs­ge­richts­hof er­su­chen den EuGH um Prüfung der Gültig­keit der Richt­li­nie, ins­bes. im Licht von zwei durch die Charta der Grund­rechte der EU gewähr­leis­te­ten Grund­rech­ten, und zwar des Grund­rechts auf Ach­tung des Pri­vat­le­bens so­wie des Grund­rechts auf Schutz per­so­nen­be­zo­ge­ner Da­ten.

Der High Court hat über einen Rechts­streit zwi­schen der iri­schen Ge­sell­schaft Di­gi­tal Rights und iri­schen Behörden we­gen der Rechtmäßig­keit na­tio­na­ler Maßnah­men zur Vor­rats­spei­che­rung von Da­ten elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­vorgänge zu ent­schei­den. Der Ver­fas­sungs­ge­richts­hof ist mit meh­re­ren ver­fas­sungs­recht­li­chen Ver­fah­ren be­fasst, die von der Kärnt­ner Lan­des­re­gie­rung so­wie von Herrn Seit­lin­ger, Herrn Tsch­ohl und 11.128 wei­te­ren An­trag­stel­lern anhängig ge­macht wur­den und auf die Nich­ti­gerklärung der na­tio­na­len Be­stim­mung zur Um­set­zung der Richt­li­nie in öster­rei­chi­sches Recht ge­rich­tet sind.

Der EuGH erklärte die Richt­li­nie nun­mehr für ungültig.

Die Gründe:
Den auf Vor­rat zu spei­chern­den Da­ten ist zu ent­neh­men, mit wel­cher Per­son ein Teil­neh­mer oder re­gis­trier­ter Be­nut­zer auf wel­chem Weg kom­mu­ni­ziert hat, wie lange die Kom­mu­ni­ka­tion ge­dau­ert hat und von wel­chem Ort aus sie statt­fand und wie häufig der Teil­neh­mer oder re­gis­trierte Be­nut­zer während ei­nes be­stimm­ten Zeit­raums mit be­stimm­ten Per­so­nen kom­mu­ni­ziert hat. Aus all die­sen Da­ten können sehr ge­naue Schlüsse auf das Pri­vat­le­ben der Per­so­nen, de­ren Da­ten ge­spei­chert wer­den, ge­zo­gen wer­den. In der Ver­pflich­tung zur Vor­rats­spei­che­rung die­ser Da­ten und der Ge­stat­tung des Zu­gangs der zuständi­gen na­tio­na­len Behörden zu ih­nen ist ein be­son­ders schwer­wie­gen­der Ein­griff der Richt­li­nie in die Grund­rechte auf Ach­tung des Pri­vat­le­bens und auf Schutz per­so­nen­be­zo­ge­ner Da­ten zu se­hen.

Ein sol­cher Ein­griff berührt zwar nicht den We­sens­ge­halt der Grund­rechte auf Ach­tung des Pri­vat­le­bens und auf Schutz per­so­nen­be­zo­ge­ner Da­ten. Die Richt­li­nie ge­stat­tet nämlich nicht die Kennt­nis­nahme des In­halts elek­tro­ni­scher Kom­mu­ni­ka­tion als sol­chen und sieht vor, dass die Diens­te­an­bie­ter bzw. Netz­be­trei­ber be­stimmte Grundsätze des Da­ten­schut­zes und der Da­ten­si­cher­heit ein­hal­ten müssen. Die Vor­rats­spei­che­rung der Da­ten zur et­wai­gen Wei­ter­lei­tung an die zuständi­gen na­tio­na­len Behörden stellt auch eine Ziel­set­zung dar, die dem Ge­mein­wohl dient (Bekämp­fung schwe­rer Kri­mi­na­lität). Den­noch hat der Uni­ons­ge­setz­ge­ber beim Er­lass der Richt­li­nie den Grund­satz der Verhält­nismäßig­keit ver­letzt.

An­ge­sichts der be­son­de­ren Be­deu­tung des Schut­zes per­so­nen­be­zo­ge­ner Da­ten für das Grund­recht auf Ach­tung des Pri­vat­le­bens und des Ausmaßes und der Schwere des mit der Richt­li­nie ver­bun­de­nen Ein­griffs in die­ses Recht ist der Ge­stal­tungs­spiel­raum des Uni­ons­ge­setz­ge­bers ein­ge­schränkt, so dass die Richt­li­nie ei­ner strik­ten Kon­trolle un­ter­liegt. Zwar ist die nach der Richt­li­nie vor­ge­schrie­bene Vor­rats­spei­che­rung zur Er­rei­chung des mit ihr ver­folg­ten Ziels ge­eig­net, doch be­inhal­tet sie einen Ein­griff von großem Ausmaß und von be­son­de­rer Schwere in die frag­li­chen Grund­rechte, ohne dass sie Be­stim­mun­gen ent­hielte, die zu gewähr­leis­ten vermögen, dass sich der Ein­griff tatsäch­lich auf das ab­so­lut Not­wen­dige be­schränkt.

• Denn ers­tens er­streckt sich die Richt­li­nie ge­ne­rell auf sämt­li­che Per­so­nen, elek­tro­ni­sche Kom­mu­ni­ka­ti­ons­mit­tel und Ver­kehrs­da­ten, ohne ir­gend­eine Dif­fe­ren­zie­rung, Ein­schränkung oder Aus­nahme an­hand des Ziels der Bekämp­fung schwe­rer Straf­ta­ten vor­zu­se­hen.
• Zwei­tens ist kein ob­jek­ti­ves Kri­te­rium vor­ge­se­hen, das es ermöglicht, den Zu­gang der zuständi­gen na­tio­na­len Behörden zu den Da­ten und de­ren Nut­zung auf Straf­ta­ten zu be­schränken, die im Hin­blick auf das Ausmaß und die Schwere des Ein­griffs in die frag­li­chen Grund­rechte als so schwer­wie­gend an­ge­se­hen wer­den können, dass sie einen sol­chen Ein­griff recht­fer­ti­gen. Die Richt­li­nie nimmt im Ge­gen­teil le­dig­lich all­ge­mein auf den Be­griff der "schwe­ren Straf­ta­ten" Be­zug. Über­dies enthält die Richt­li­nie keine ma­te­ri­ell- und ver­fah­rens­recht­li­chen Vor­aus­set­zun­gen für den Zu­gang der zuständi­gen na­tio­na­len Behörden zu den Da­ten und de­ren spätere Nut­zung. Vor al­lem un­ter­liegt der Zu­gang zu den Da­ten kei­ner vor­he­ri­gen Kon­trolle durch ein Ge­richt oder eine un­abhängige Ver­wal­tungs­stelle.
• Drit­tens schreibt die Richt­li­nie eine Dauer der Vor­rats­spei­che­rung der Da­ten von min­des­tens sechs Mo­na­ten vor, ohne dass eine Un­ter­schei­dung zwi­schen den Da­ten­ka­te­go­rien an­hand der be­trof­fe­nen Per­so­nen oder nach Maßgabe des et­wai­gen Nut­zens der Da­ten für das ver­folgte Ziel ge­trof­fen wird. Die Spei­che­rungs­frist liegt zu­dem zwi­schen min­des­tens sechs und höchs­tens 24 Mo­na­ten, ohne dass die Richt­li­nie ob­jek­tive Kri­te­rien fest­legt, die gewähr­leis­ten, dass die Spei­che­rung auf das ab­so­lut Not­wen­dige be­schränkt wird.

Darüber hin­aus bie­tet die Richt­li­nie keine hin­rei­chen­den Ga­ran­tien dafür, dass die Da­ten wirk­sam vor Miss­brauchs­ri­si­ken so­wie vor je­dem un­be­rech­tig­ten Zu­gang und je­der un­be­rech­tig­ten Nut­zung ge­schützt sind. So ge­stat­tet sie es den Diens­te­an­bie­tern, bei der Be­stim­mung des von ih­nen an­ge­wand­ten Si­cher­heits­ni­veaus wirt­schaft­li­che Erwägun­gen (Kos­ten für Si­cher­heitsmaßnah­men) zu berück­sich­ti­gen, und gewähr­leis­tet nicht, dass die Da­ten nach Ab­lauf ih­rer Spei­che­rungs­frist un­wi­der­ruf­lich ver­nich­tet wer­den. Und schließlich schreibt die Richt­li­nie keine Spei­che­rung der Da­ten im Uni­ons­ge­biet vor und gewähr­leis­tet da­mit nicht, dass die Ein­hal­tung der Er­for­der­nisse des Da­ten­schut­zes und der Da­ten­si­cher­heit durch eine un­abhängige Stelle über­wacht wird. Eine sol­che Über­wa­chung auf der Grund­lage des Uni­ons­rechts ist aber ein we­sent­li­cher Be­stand­teil der Wah­rung des Schut­zes der Be­trof­fe­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten.

Link­hin­weis:

• Der Voll­text der Ent­schei­dung wird auf den Web­sei­ten des EuGH demnächst hier veröff­ent­licht.
• Für die Pres­se­mit­tei­lung des EuGH kli­cken Sie bitte hier.
• Dass mas­sive Ein­griffe in Persönlich­keits­rechte über IP-Adres­sen auch dann möglich sind, wenn sie nicht auf Vor­rat ge­spei­chert wer­den, hat unlängst der Fall Redtube ge­zeigt:  Härting, "Was man aus Redtube für den Da­ten­schutz und die Vor­rats­da­ten­spei­che­rung ler­nen kann", CRon­line Blog v. 23.1.2014