Neues zum Datenschutzrecht

23.9.2022

EuGH: Deutsche Regelung zur Vorratsdatenspeicherung rechtswidrig

Der EuGH hat mit Urteil vom 20.9.2022 (C‑793/19 und C‑794/19) entschieden, dass die deutsche Regelung zur Vorratsdatenspeicherung gem. § 113a ff. Telekommunikationsgesetz a.F. (nunmehr §§ 175 ff. TKG) nicht mit EU-Recht vereinbar ist. Das Gericht bestätigt seine bisherige Rechtsprechung, dass das Unionsrecht einer allgemeinen und unterschiedslosen Vorratsspeicherung von Verkehrs- und Standortdaten entgegensteht. Eine solche Speicherung ist nur zulässig, wenn eine als real und aktuell oder vorhersehbar einzustufende ernste Bedrohung für die nationale Sicherheit vorliegt. Für einen darüberhinausgehenden Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit dürfen die EU-Mitgliedstaaten lediglich unter Beachtung des Grundsatzes der Verhältnismäßigkeit eine gezielte Vorratsspeicherung von Verkehrs- und Standortdaten sowie eine allgemeine und unterschiedslose Vorratsspeicherung von IP-Adressen vorsehen.

+ + + Update vom 5.12.2022: Eine ausführliche Besprechung finden Sie im neuen Heft der Kommunikation & Recht (K&R) 2022, S. 815 ff. mit meinem Aufsatz „Rechtmäßige Vorratsdatenspeicherung, aber wie?“ der dfV Mediengruppe. + + +

Hintergrund

Der Entscheidung des EuGH liegen zwei Vorabentscheidungsersuchen des Bundesverwaltungsgerichts (BVerwG) zugrunde, das in zwei Revisionsverfahren darüber zu entscheiden hat, ob die der klagenden SpaceNet AG bzw. Telekom Deutschland GmbH auferlegte Pflicht zur Vorratsdatenspeicherung rechtmäßig ist. Das BVerwG (Az. 6 C 12.18 und Az. 6 C 13.18) wollte vom EuGH wissen, ob die deutsche Regelung zur Vorratsdatenspeicherung in §§ 113a ff. TKG a.F. mit EU-Recht vereinbar ist und zwar unter besonderer Berücksichtigung der Umstände, dass unter anderem

• die Pflicht zur Speicherung von Verkehrs- und Standortdaten keinen spezifischen Anlass in örtlicher, zeitlicher oder räumlicher Hinsicht voraussetzt, aber
• nur bestimmte Datenarten betrifft und
• die Speicherdauer lediglich zehn bzw. für Standortdaten vier Wochen beträgt.

Die Pflicht zur Vorratsdatenspeicherung wurde in Deutschland im Jahr 2015 in §§ 113a ff. TKG (a.F.) neu geregelt, nachdem das Bundesverfassungsgericht (1 BvR 256/08, 1 BvR 263/08 und 1 BvR 586/08) die früheren Vorschriften zur Vorratsdatenspeicherung für verfassungswidrig erklärt hatte und der EuGH (Rs. C-293/12) die Richtlinie 2006/24/EG über die Vorratsdatenspeicherung für ungültig erklärt hat. Allerdings wurde vor dem Hintergrund der gerichtlichen Klärung die Durchsetzung der Vorratsdatenspeicherung auf Basis der Neuregelung von der Bundesnetzagentur ausgesetzt. Schließlich sind die Regelungen zur Vorratsdatenspeicherung in §§ 113a ff. TKG a.F. aufgrund der Neufassung des TKG zum 1.12.2021 durch das Telekommunikationsmodernisierungsgesetz (TKMoG) v. 23.6.2021 nunmehr in §§ 175 ff. TKG verortet.

Schlussanträge des Generalanwalts beim EuGH

In seinen Schlussanträgen vom 18.11.2021 bewertet der Generalanwalt beim EuGH Manuel Campos Sánchez-Bordona die Regelungen in §§ 113a ff. TKG a.F. zwar als „lobenswerten Fortschritt“, sieht in ihnen aber dennoch einen Verstoß gegen EU-Recht. Nach Ansicht des Generalanwalts kann – in Einklang mit der bisherigen EuGH-Rechtsprechung – nur eine gezielte bzw. selektive Vorratsdatenspeicherung zulässig sein, außer wenn es um die Verteidigung der nationalen Sicherheit geht (s. dazu die News v. 19.11.2021).

Bemerkenswert ist das vom Generalanwalt geäußerte Unverständnis über die Vorabentscheidungsersuchen bzw. die zugrunde liegenden gesetzlichen Regelungen der EU-Mitgliedstaaten: Mit Blick auf die bisherige – umfassende und im Dialog mit den vorlegenden Gerichten erfolgte – Rechtsprechung des EuGH einschließlich durch dessen Großen Kammer (Rs. C‑623/17 sowie Rs. C‑511/18, C‑512/18 und C‑520/18) wäre zu erwarten gewesen, dass diese Urteile vom 6. Oktober 2020 der Debatte über die rechtskonforme Vorratsdatenspeicherung ein Ende gesetzt haben. Der Generalanwalt kann vor dem Hintergrund dieser EuGH-Rechtsprechung nicht nachvollziehen, dass mit dem vorliegenden sowie dem weiteren Vorabentscheidungsersuchen (Rs. C-140/20) „die ständige Rechtsprechung zu Art. 15 Abs. 1 der Richtlinie 2002/58 erneut in Frage gestellt wird.“

Entscheidung des EuGH

Der EuGH hält in seinem Urteil vom 20.9.2022 (C‑793/19 und C‑794/19) an seiner bisherigen Rechtsprechung fest, dass eine Speicherung von Verkehrs- und Standortdaten im Bereich der elektronischen Kommunikation in nur sehr engen Grenzen möglich ist.

Eine wie in §§ 113a ff. TKG a.F. vorgesehene allgemeine unterschiedslose Vorratsdatenspeicherung von Verkehrs- und Standortdaten zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit steht nicht in Einklang mit EU-Recht, konkret Art. 15 Abs. 1 Richtlinie 2002/58/EG (ePrivacy-Richtlinie).

Zur Begründung stellt der EuGH darauf ab, dass eine solche allgemeine und unterschiedslose Vorratsdatenspeicherung sich auch unter Berücksichtigung der vom deutschen Gesetzgeber zumindest punktuell begrenzten Art der Daten auf eine große Anzahl von Verkehrs- und Standortdaten erstreckt. Diese Daten enthalten Informationen über eine Vielzahl von Aspekten des Privatlebens der Betroffenen. Aus der Gesamtheit dieser Daten können sehr genaue Schlüsse auf das Privatleben betroffenen Personen gezogen werden. Das könnte dazu führen, dass ein Gefühl der ständigen Überwachung entsteht. Daran ändere auch nichts die begrenzte Speicherdauer von zehn Wochen bzw. vier Wochen für Standortdaten.

Unabhängig von einer Beschränkung der Datenmengen und einer zeitlichen Begrenzung stellt der staatliche Zugang zu solchen Informationen einen schwerwiegenden Eingriff in Grundrechte dar, die in den Art. 7 und 8 der Charta der Grundrechte der EU verankert sind.

Darüber hinaus wiederholt der EuGH in seinem Urteil die rechtlichen Rahmenbedingungen für eine Vorratsdatenspeicherung und die hierbei relevanten Unterschiede, wie er sie bereits im Urteil vom 6.10.2020 (Rs. C-511/18, C-512/18 und C-520/18 (La Quadrature du Net ua/Premier ministre u.a.)) ausformuliert hat:

Eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten ist allein dann mit EU-Recht vereinbar, wenn sich der Mitgliedstaat einer als real und aktuell oder vorhersehbar einzustufenden ernsten Bedrohung für die nationale Sicherheit gegenübersieht. Eine Anordnung mit der Verpflichtung zur Speicherung kann durch ein Gericht oder eine unabhängige Verwaltungsstelle kontrolliert werden und darf nur für einen auf das absolut Notwendige begrenzten, aber im Fall des Fortbestands der Bedrohung verlängerbaren Zeitraum ergehen.

Zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit zulässig ist dagegen lediglich eine gezielte Vorratsspeicherung von Verkehrs- und Standortdaten sowie von IP-Adressen, die der Quelle einer Verbindung zugewiesen sind. Die Speicherung muss auf der Grundlage objektiver und nicht diskriminierender Kriterien anhand von Kategorien betroffener Personen oder mittels eines geografischen Kriteriums erfolgen. Sie darf nur für einen auf das absolut Notwendige begrenzten, aber verlängerbaren Zeitraum vorgesehen und durchgeführt werden.

Zum Schutz der nationalen Sicherheit, zur Bekämpfung der Kriminalität und zum Schutz der öffentlichen Sicherheit zulässig ist eine allgemeine und unterschiedslose Vorratsspeicherung der die Identität der Nutzer elektronischer Kommunikationsmittel betreffenden Daten.

Zum Schutz der nationalen Sicherheit und zur Bekämpfung schwerer Kriminalität ist es zulässig, Betreiber elektronischer Kommunikationsdienste zu verpflichten, während eines festgelegten Zeitraums die vorhandenen Verkehrs- und Standortdaten umgehend zu sichern (sog. quick freeze).

In jedem Fall müssen die entsprechenden nationalen Rechtsvorschriften durch klare und präzise Regeln sicherstellen, dass bei der Datenspeicherung die für sie geltenden materiellen und prozeduralen Voraussetzungen eingehalten werden und dass die Betroffenen über wirksame Garantien zum Schutz vor Missbrauchsrisiken verfügen.

Fazit

Das EuGH-Urteil ist klar und eindeutig: Die Regelung in §§ 113a ff. TKG a.F. – nunmehr in §§ 175 ff. TKG – steht im Widerspruch zu der bereits ergangenen EuGH-Rechtsprechung zur Vorratsdatenspeicherung. Dieses Ergebnis wurde überwiegend erwartet und ließ sich bereits 2020 einer Ausarbeitung des Wissenschaftlichen Dienstes des Bundestages (WD) zu den Auswirkungen der bis dahin ergangenen EuGH-Rechtsprechung zur Vorratsdatenspeicherung auf die Tätigkeit der Geheimdienste (Az. WD 3 – 3000 – 240/20) entnehmen.

Der EuGH hält – wenig überraschend – an seiner bisherigen Linie fest und macht deutlich, dass Änderungen bzgl. Art, Umfang, Speicherdauer etc. keine andere Bewertung des grundsätzlichen Verbots der anlasslosen Vorratsdatenspeicherung rechtfertigen können. Das Gericht zeigt aber auch erneut auf, zu welchen Zwecken und unter welchen Voraussetzungen bestimmte Formen einer Vorratsdatenspeicherung zulässig sind.

Ob die vom EuGH aufgezeigten Begrenzungen vom deutschen Gesetzgeber nunmehr aufgegriffen werden, um die Regelung der Vorratsdatenspeicherung in §§ 175 ff. TKG entsprechend anzupassen oder die Vorratsdatenspeicherung gänzlich fallen zu lassen und eine lediglich nachträgliche kurze Speicherung aus Anlass einer Straftat zu erlauben, wird die bereits laufende politische und rechtliche Diskussion zeigen (vgl. nur die Position des Bundesministeriums der Justiz, das für ein „Quick-Freeze-Verfahren“ plädiert).

Sollten Sie Fragen zur Vorratsdatenspeicherung oder zu sonstigen datenschutzrechtlichen Themen haben oder dabei Unterstützung benötigen, können Sie mich gerne kontaktieren.

Zurück zur Übersicht