Eine begrüßenswerte Entscheidung: EuGH kippt die Richtlinie zur EU- Vorratsdatenspeicherung!

In den meisten Fällen folgt der EuGH der Meinung des Generalanwalts. Und das ist auch heute passiert: Der EuGH erklärte die 2006 in Kraft getretene EU-Richtlinie zur Vorratsdatenspeicherung für rechtswidrig und erklärte diese für ungültig. Problematisch sei nach Ansicht der Richter, dass die Richtlinie die Speicherung von Kommunikationsdaten ohne Verdacht auf Straftaten vorsehe und dies ohne Einschränkung. Dies sei mit dem EU-Recht unvereinbar.

RA Christian Solmecke mit einer ersten Einschätzung: „Dieses EuGH Urteil bedeutet eine wahre Ohrfeige für den EU-Gesetzgeber. Nachdem so viele wichtige Punkte gerügt wurden, erscheint es sehr unwahrscheinlich, dass in naher Zukunft eine neu ausgearbeitete Richtlinie zur Vorratsdatenspeicherung beschlossen wird. Die Hürde, die die Richter des EuGH an den Gesetzgeber durch dieses Urteil gestellt haben, ist zu hoch.“

Verstoß gegen Grundrechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten

Die Richter kamen, wie Generalanwalt Pedro Cruz Villalon zu dem Schluss, dass die Richtlinie zu sehr in die Grundrechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten eingreift. Da sich dieser Eingriff in die Grundrechte nicht auf das Notwendige beschränke, sei er rechtswidrig.

Die Vorratsdatenspeicherung gibt Auskunft darüber mit welcher Person ein Teilnehmer auf welchem Weg kommuniziert hat, über die Länge, Häufigkeit und den Ort der Kommunikation. Die Sammlung dieser Daten kann somit Ausschluss über die täglichen Gewohnheiten eines Menschen geben (ausgeübte Tätigkeiten, soziales Umfeld, Aufenthaltsort etc.). Die Möglichkeit über diese Datensammlung solche Persönlichkeitsprofile zu erstellen stellt nach Ansicht der Richter „einen besonders schwerwiegenden Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten“.

Dieser schwerwiegende Eingriff sei auch nicht mit dem Ziel der Bekämpfung schwerer Kriminalität zu rechtfertigen. Hier sei der Grundsatz der Verhältnismäßigkeit, der bei einem Eingriff in Grundrechte immer beachtet werden muss, nicht eingehalten worden. Bei einem derartig schweren Eingriff, hätte dieser sich auf das absolut Notwendige beschränken müssen. Dies ist bei der vorgesehenen anlasslosen Vorratsdatenspeicherung aber gerade nicht der Fall, denn die Richtlinie erstreckt sich „generell auf sämtliche Personen, elektronische Kommunikationsmittel und Verkehrsdaten, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme“.

Es fehle ein „objektives Kriterium, das es ermöglicht, den Zugang der zuständigen nationalen Behörden zu den Daten und deren Nutzung zwecks Verhütung, Feststellung oder strafrechtlicher Verfolgung auf Straftaten zu beschränken (…)“.

Große Sicherheitsmängel und keine Gewährleistung des EU-Datenschutzes

Schließlich rügen die Richter zwei Punkte, die seit jeher äußerst fragwürdig erscheinen:

  • Zum einen die Tatsache, dass die Richtlinie keine hinreichenden Garantien dafür bietet, dass die Daten vor einem Missbrauch geschützt werden – Die Diensteanbieter durften aus Kostengründen (!) bei der Sicherheit sparen. Eine unwiderrufliche Vernichtung der Daten nach Ablauf der Speicherungsfrist war somit nicht gewährleistet.
  • Zum anderen schrieb die Richtlinie keine Speicherung der Daten im Unionsgebiet vor. Das bedeutete, dass der durch die Union vorgesehene Datenschutz nicht auf die Daten, die im Rahmen der Vorratsdatenspeicherung gesammelt würden, anwendbar wäre. Es erscheint in der Tat abstrus, das der EU- Datenschutz nicht auf eine Datensammlung, die auf der Grundlage einer EU-Richtlinie erfolgt, anwendbar sein soll.

Fazit: Eine Richtlinie zur anlasslosen Vorratsdatenspeicherung wäre grundsätzlich möglich, müsste jedoch aufgrund der Schwere des Eingriffs auf das absolut Notwendige beschränkt werden. Das ist hier aufgrund zahlreicher gerügter Punkte nicht der Fall.

Hier die Pressemittleilung im Volltext:

Der Gerichtshof erklärt die Richtlinie über die Vorratsspeicherung von Daten für ungültig

Sie beinhaltet einen Eingriff von großem Ausmaß und besonderer Schwere in die Grundrechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten, der sich nicht auf das absolut Notwendige beschränkt

Mit der Richtlinie über die Vorratsspeicherung von Daten sollen in erster Linie die Vorschriften der Mitgliedstaaten über die Vorratsspeicherung bestimmter von den Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste oder den Betreibern eines öffentlichen Kommunikationsnetzes erzeugter oder verarbeiteter Daten harmonisiert werden. Sie soll damit sicherstellen, dass die Daten zwecks Verhütung, Ermittlung, Feststellung und Verfolgung von schweren Straftaten wie organisierter Kriminalität und Terrorismus zur Verfügung stehen. Die Richtlinie sieht daher vor, dass die genannten Anbieter und Betreiber die Verkehrs- und Standortdaten sowie alle damit in Zusammenhang stehenden Daten, die zur Feststellung des Teilnehmers oder Benutzers erforderlich sind, auf Vorrat speichern müssen. Dagegen gestattet sie keine Vorratsspeicherung des Inhalts einer Nachricht und der abgerufenen Informationen.

Der irische High Court und der österreichische Verfassungsgerichtshof ersuchen den Gerichtshof um Prüfung der Gültigkeit der Richtlinie, insbesondere im Licht von zwei durch die Charta der Grundrechte der Europäischen Union gewährleisteten Grundrechten, und zwar des Grundrechts auf Achtung des Privatlebens sowie des Grundrechts auf Schutz personenbezogener Daten.

Der High Court hat über einen Rechtsstreit zwischen der irischen Gesellschaft Digital Rights und irischen Behörden wegen der Rechtmäßigkeit nationaler Maßnahmen zur Vorratsspeicherung von Daten elektronischer Kommunikationsvorgänge zu entscheiden. Der Verfassungsgerichtshof ist mit mehreren verfassungsrechtlichen Verfahren befasst, die von der Kärntner Landesregierung sowie von Herrn Seitlinger, Herrn Tschohl und 11 128 weiteren Antragstellern anhängig gemacht wurden und auf die Nichtigerklärung der nationalen Bestimmung zur Umsetzung der Richtlinie in österreichisches Recht gerichtet sind.

Mit seinem heutigen Urteil erklärt der Gerichtshof die Richtlinie für ungültig3 .

Der Gerichtshof stellt zunächst fest, dass den auf Vorrat zu speichernden Daten insbesondere zu entnehmen ist, 1. mit welcher Person ein Teilnehmer oder registrierter Benutzer auf welchem Weg kommuniziert hat, 2. wie lange die Kommunikation gedauert hat und von welchem Ort aus sie stattfand und 3. wie häufig der Teilnehmer oder registrierte Benutzer während eines bestimmten Zeitraums mit bestimmten Personen kommuniziert hat. Aus der Gesamtheit dieser Daten können sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert werden, gezogen werden, etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen und das soziale Umfeld.

Der Gerichtshof sieht in der Verpflichtung zur Vorratsspeicherung dieser Daten und der Gestattung des Zugangs der zuständigen nationalen Behörden zu ihnen einen besonders schwerwiegenden Eingriff der Richtlinie in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten. Außerdem ist der Umstand, dass die Vorratsspeicherung der Daten und ihre spätere Nutzung vorgenommen werden, ohne dass der Teilnehmer oder der registrierte Benutzer darüber informiert wird, geeignet, bei den Betroffenen das Gefühl zu erzeugen, dass ihr Privatleben Gegenstand einer ständigen Überwachung ist.

Sodann prüft der Gerichtshof, ob ein solcher Eingriff in die fraglichen Grundrechte gerechtfertigt ist.

Er stellt fest, dass die nach der Richtlinie vorgeschriebene Vorratsspeicherung von Daten nicht geeignet ist, den Wesensgehalt der Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten anzutasten. Die Richtlinie gestattet nämlich nicht die Kenntnisnahme des Inhalts elektronischer Kommunikation als solchen und sieht vor, dass die Diensteanbieter bzw. Netzbetreiber bestimmte Grundsätze des Datenschutzes und der Datensicherheit einhalten müssen.

Die Vorratsspeicherung der Daten zur etwaigen Weiterleitung an die zuständigen nationalen Behörden stellt auch eine Zielsetzung dar, die dem Gemeinwohl dient, und zwar der Bekämpfung schwerer Kriminalität und somit letztlich der öffentlichen Sicherheit.

Der Gerichtshof kommt jedoch zu dem Ergebnis, dass der Unionsgesetzgeber beim Erlass der Richtlinie über die Vorratsspeicherung von Daten die Grenzen überschritten hat, die er zur Wahrung des Grundsatzes der Verhältnismäßigkeit einhalten musste.

Hierzu führt der Gerichtshof aus, dass angesichts der besonderen Bedeutung des Schutzes personenbezogener Daten für das Grundrecht auf Achtung des Privatlebens und des Ausmaßes und der Schwere des mit der Richtlinie verbundenen Eingriffs in dieses Recht der Gestaltungsspielraum des Unionsgesetzgebers eingeschränkt ist, so dass die Richtlinie einer strikten Kontrolle unterliegt.

Zwar ist die nach der Richtlinie vorgeschriebene Vorratsspeicherung der Daten zur Erreichung des mit ihr verfolgten Ziels geeignet, doch beinhaltet sie einen Eingriff von großem Ausmaß und von besonderer Schwere in die fraglichen Grundrechte, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Erstens erstreckt sich die Richtlinie nämlich generell auf sämtliche Personen, elektronische Kommunikationsmittel und Verkehrsdaten, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen.

Zweitens sieht die Richtlinie kein objektives Kriterium vor, das es ermöglicht, den Zugang der zuständigen nationalen Behörden zu den Daten und deren Nutzung zwecks Verhütung, Feststellung oder strafrechtlicher Verfolgung auf Straftaten zu beschränken, die im Hinblick auf das Ausmaß und die Schwere des Eingriffs in die fraglichen Grundrechte als so schwerwiegend angesehen werden können, dass sie einen solchen Eingriff rechtfertigen. Die Richtlinie nimmt im Gegenteil lediglich allgemein auf die von jedem Mitgliedstaat in seinem nationalen Recht bestimmten „schweren Straftaten“ Bezug. Überdies enthält die Richtlinie keine materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung. Vor allem unterliegt der Zugang zu den Daten keiner vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle.

Drittens schreibt die Richtlinie eine Dauer der Vorratsspeicherung der Daten von mindestens sechs Monaten vor, ohne dass eine Unterscheidung zwischen den Datenkategorien anhand der betroffenen Personen oder nach Maßgabe des etwaigen Nutzens der Daten für das verfolgte Ziel getroffen wird. Die Speicherungsfrist liegt zudem zwischen mindestens sechs und höchstens 24 Monaten, ohne dass die Richtlinie objektive Kriterien festlegt, die gewährleisten, dass die Speicherung auf das absolut Notwendige beschränkt wird.

Darüber hinaus stellt der Gerichtshof fest, dass die Richtlinie keine hinreichenden Garantien dafür bietet, dass die Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang und jeder unberechtigten Nutzung geschützt sind. Unter anderem gestattet sie es den Diensteanbietern, bei der Bestimmung des von ihnen angewandten Sicherheitsniveaus wirtschaftliche Erwägungen (insbesondere hinsichtlich der Kosten für die Durchführung der Sicherheitsmaßnahmen) zu berücksichtigen, und gewährleistet nicht, dass die Daten nach Ablauf ihrer Speicherungsfrist unwiderruflich vernichtet werden.

Der Gerichtshof rügt schließlich, dass die Richtlinie keine Speicherung der Daten im Unionsgebiet vorschreibt. Sie gewährleistet damit nicht in vollem Umfang, dass die Einhaltung der Erfordernisse des Datenschutzes und der Datensicherheit durch eine unabhängige Stelle überwacht wird, obwohl die Charta dies ausdrücklich fordert. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten.