News

EuGH: Vorratsdatenspeicherung – Zulässigkeit?

Bearbeiter: Sabine Kriwanek

Schwed. und brit. Fälle. Auch nach der RL 2002/58/EG (DatenschutzRL für elektronische Kommunikation) ist eine allgemeine Vorratsspeicherung nicht zulässig, sondern nur zur Bekämpfung schwerer Strafttaten und mit kontrollierem Zugriff.

GRC: Art 7, Art 8, Art 11, Art 52

RL 2002/58/EG idF RL 2009/136/EG: Art 15

Nach Ungültigerklärung der RL über die Vorratsspeicherung von Daten (RL 2006/24/EG) hält der EuGH über entsprechende Vorlagefragen aus Schweden und Großbritannien fest, dass auch nach der RL 2002/58/EG (DatenschutzRL für elektronische Kommunikation) eine allgemeine und unterschiedslose Vorratsspeicherung sämtlicher Verkehrs- und Standortdaten aller Teilnehmer und aller elektronischen Kommunikationsmittel unzulässig ist und nur zur Bekämpfung schwerer Straftaten vorbeugend die gezielte Vorratsspeicherung von Verkehrs- und Standortdaten ermöglicht werden darf. Dabei muss die Vorratsdatenspeicherung auf das absolut Notwendige beschränkt sein und der Zugang der zuständigen nationalen Behörden zu den gespeicherten Daten muss – außer in hinreichend begründeten Eilfällen – einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterworfen sein.

EuGH 21. 12. 2016, C-203/15 und C-698/15, Tele2 Sverige

Sachverhalt

Zu einem schwedischen und einem britischen Vorabentscheidungsersuchen.

In der E EuGH 8. 4. 2014, C-293/12 und C-594/12, Digital Rights Ireland (RdW 2014/313) hat der EuGH die RL über die Vorratsspeicherung von Daten (RL 2006/24/EG) für ungültig erklärt, weil der Eingriff in die Grundrechte auf Achtung des Privatlebens und Schutz personenbezogener Daten durch die allgemeine Verpflichtung zur Vorratsspeicherung von Verkehrs- und Standortdaten nicht auf das absolut Notwendige beschränkt war.

Hinweis:

Vgl auch die in der Folge ergangen Entscheidung VfGH 27. 6. 2014, G 47/2012 ua, RdW 2014/410 (Verfassungswidrigkeit der Vorratsdatenspeicherung).

In der Folge wurde der EuGH mit zwei Rechtssachen aus Schweden und dem Vereinigten Königreich befasst:

-In der Rs C–203/15 teilte Tele2 Sverige (ein in Schweden ansässiger Betreiber elektronischer Kommunikationsdienste) der schwedischen Überwachungsbehörde für Post und Telekommunikation mit, dass sie infolge der Ungültigerklärung der RL 2006/24/EG die elektronischen Kommunikationsdaten nicht mehr auf Vorrat speichern und die bis dahin gespeicherten Daten löschen werde.
Die schwedische Reglung sieht eine allgemeine und unterschiedslose Vorratsspeicherung sämtlicher Verkehrs- und Standortdaten aller Teilnehmer und registrierten Nutzer in Bezug auf alle elektronischen Kommunikationsmittel vor und verpflichtet die Betreiber elektronischer Kommunikationsdienste, diese Daten systematisch und kontinuierlich auf Vorrat zu speichern, und zwar ausnahmslos. Die von dieser Regelung erfassten Datenkategorien entsprechen im Wesentlichen denen, deren Vorratsspeicherung nach der RL 2006/24/EG vorgesehen war.
-In der Rechtssache C-698/15 klagten Herr Watson, Herr Brice und Herr Lewis gegen die britischen Regelung über die Vorratsspeicherung von Daten, die den Innenminister ermächtigt, die Betreiber öffentlicher Telekommunikationsdienste zu verpflichten, sämtliche Kommunikationsdaten für bis zu 12 Monate auf Vorrat zu speichern, wobei die Speicherung des Inhalts der Kommunikationsvorgänge ausgeschlossen ist.

Die vorlegenden Gerichte möchten vom EuGH wissen, ob die nationalen Regelungen mit der „Datenschutzrichtlinie für elektronische Kommunikation“ (RL 2002/58/EG) im Licht der EU-Grundrechtecharta vereinbar sind; die nationalen Vorschriften verlangen von den Betreibern nämlich eine allgemeine Verpflichtung zur Vorratsspeicherung von Daten und ermöglichen den zuständigen nationalen Behörden den Zugang zu den gespeicherten Daten, ohne dass dieser Zugang auf die Zwecke der Bekämpfung schwerer Straftaten beschränkt wäre und einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsbehörde unterworfen wäre.

Entscheidung

In seinen Entscheidungsgründen prüft der EuGH zunächst, ob die nationalen Regelungen in den Geltungsbereich der RL 2002/58/EG fallen und bejaht dies.

Nur absolut notwendige Vorratsspeicherung zulässig

Danach legt der EuGH den hier maßgeblichen Art 15 Abs 1 RL 2002/58/EG (Möglichkeit der Mitgliedstaaten, Ausnahmen vom Grundsatz der Vertraulichkeit elektronischer Kommunikationen festzulegen) im Licht der Art 7, 8, 11 und Art 52 Abs 1 der Charta der Grundrechte der Europäischen Union aus. Dabei bezieht er sich bei seinen Ausführungen nicht nur auf das Urteil EuGH 8. 4. 2014, C-293/12 und C-594/12, Digital Rights Ireland (RdW 2014/313), sondern ua auch auf EuGH 6. 10. 2015, C-362/14, Schrems (RdW 2015/612).

Zu den materiellen Voraussetzungen, unter denen eine nationale Regelung zulässig ist, weil sie sich auf das absolut Notwendige beschränkt, führt der EuGH näher aus, dass sich diese Voraussetzungen „zwar je nach den zur Verhütung, Ermittlung, Feststellung und Verfolgung schwerer Straftaten getroffenen Maßnahmen unterscheiden“ können, dass die Vorratsspeicherung der Daten aber „stets objektiven Kriterien genügen [muss], die einen Zusammenhang zwischen den zu speichernden Daten und dem verfolgten Ziel herstellen. Diese Voraussetzungen müssen insb in der Praxis geeignet sein, den Umfang der Maßnahme und infolgedessen die betroffenen Personenkreise wirksam zu begrenzen.“

Bei der Begrenzung der Maßnahme im Hinblick auf potenziell betroffenen Personenkreise und Situationen muss sich die nationale Regelung „auf objektive Anknüpfungspunkte stützen, die es ermöglichen, Personenkreise zu erfassen, deren Daten geeignet sind, einen zumindest mittelbaren Zusammenhang mit schweren Straftaten sichtbar zu machen, auf irgendeine Weise zur Bekämpfung schwerer Kriminalität beizutragen oder eine schwerwiegende Gefahr für die öffentliche Sicherheit zu verhindern. Eine solche Begrenzung lässt sich durch ein geografisches Kriterium gewährleisten, wenn die zuständigen nationalen Behörden aufgrund objektiver Anhaltspunkte annehmen, dass in einem oder mehreren geografischen Gebieten ein erhöhtes Risiko besteht, dass solche Taten vorbereitet oder begangen werden.“

Zugang der nationalen Behörden

Dass auch der Zugang zu den gespeicherten Daten beschränkt werden muss, hat der EuGH ebenfalls zur RL über die Vorratsspeicherung von Daten (RL 2006/24/EG) bereits festgehalten.

Im Zusammenhang mit den Vorlagefragen zur RL 2002/58/EG verweist der EuGH nun darauf, dass Art 15 Abs 1 Satz 1 RL 2002/58/EG die Zwecke abschließend aufzählt, die eine nationale Abweichung vom Grundsatz der Vertraulichkeit elektronischer Kommunikationen rechtfertigen können, und der Zugang zu den auf Vorrat gespeicherten Daten daher tatsächlich strikt einem dieser Zwecke dienen muss. Im Hinblick auf die Schwere des Grundrechtseingriffs muss die nationale Regelung der Bekämpfung schwerer Straftaten dienen und der Zugang darf nach dem Grundsatz der Verhältnismäßigkeit nur innerhalb des absolut Notwendigen stattfinden.

Da die nationale Regelung klar und präzise die materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang festzulegen hat, darf sie sich nicht darauf beschränken, dass der Zugang „einem der Zwecke des Art 15 Abs 1 Satz 1 RL 2002/58/EG zu entsprechen“ hat, auch wenn es sich dabei um die Bekämpfung schwerer Straftaten handelt. Der Zugang muss in einem – zumindest mittelbaren – Zusammenhang mit dem verfolgten Ziel stehen und darf grds nur Daten von Personen betreffen, die im Verdacht stehen, eine schwere Straftat zu planen, zu begehen oder begangen zu haben oder auf irgendeine Weise in eine solche Straftat verwickelt zu sein (vgl auch EGMR 4. 12. 2015, Zakharov/Russland, CE:ECHR:2015:1204JUD004714306, Rn 260). Nur in besonderen Situationen – etwa wenn vitale Interessen der nationalen Sicherheit, der Landesverteidigung oder der öffentlichen Sicherheit durch terroristische Aktivitäten bedroht sind – darf nach Ansicht des EuGH allenfalls auch der Zugang zu Daten anderer Personen gewährt werden, „wenn es objektive Anhaltspunkte dafür gibt, dass diese Daten in einem konkreten Fall einen wirksamen Beitrag zur Bekämpfung solcher Aktivitäten leisten könnten“.

Weiters hält es der EuGH für unabdingbar, dass der Zugang der Behörden zu den gespeicherten Daten grds – außer in hinreichend begründeten Eilfällen – einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterworfen wird und die nationale Behörde die betroffenen Personen vom Zugriff auf ihre Daten in Kenntnis setzen, sobald dies die behördlichen Ermittlungen nicht mehr beeinträchtigen kann. Nur durch eine solche Information können die betroffenen Personen nämlich ua ihr Recht auf Einlegung eines Rechtsbehelfs ausüben (Art 15 Abs 2 RL 2002/58/EG iVm Art 22 RL 95/46/EG; vgl etwa EuGH 7. 5. 2009, Rijkeboer, C-553/07, EU:C:2009:293, Rn 52, RdW 2009/340, und EuGH 6. 10. 2015, Schrems, C-362/14, EU:C:2015:650, Rn 95, RdW 2015/612).

Außerdem erinnert der EuGH daran, dass die Betreiber geeignete technische und organisatorische Maßnahmen zu ergreifen haben, um die auf Vorrat gespeicherten Daten wirksam vor Missbrauch und vor jedem unberechtigten Zugang zu schützen (Art 4 Abs 1 und Art 4 Abs 1a der RL 2002/58/EG, von denen die Mitgliedstaaten nicht gem Art 15 Abs 1 RL 2002/58/EG abweichen dürfen). Unter Berücksichtigung der Menge an gespeicherten Daten, ihres sensiblen Charakters und der Gefahr eines unberechtigten Zugangs muss dabei nach Ansicht des EuGH ein besonders hohes Schutz- und Sicherheitsniveau gewährleistet sein und die nationale Regelung muss insb vorsehen, dass die Daten im Unionsgebiet zu speichern und nach Ablauf ihrer Speicherungsfrist unwiderruflich zu vernichten sind. Jedenfalls müssen die Mitgliedstaaten gewährleisten, dass die Einhaltung des Schutzniveaus durch eine unabhängige Stelle überwacht wird; eine solche Überwachung wird nämlich in Art 8 Abs 3 der Charta ausdrücklich gefordert und ist nach stRsp des EuGH ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten ist.

Der EuGH hat für Recht erkannt:

Art 15 Abs 1 der RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. 7. 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die RL 2009/136/EG des Europäischen Parlaments und des Rates vom 25. 11. 2009 geänderten Fassung ist im Licht der Art 7, 8 und 11 sowie des Art 52 Abs 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die für Zwecke der Bekämpfung von Straftaten eine allgemeine und unterschiedslose Vorratsspeicherung sämtlicher Verkehrs- und Standortdaten aller Teilnehmer und registrierten Nutzer in Bezug auf alle elektronischen Kommunikationsmittel vorsieht.

Art 15 Abs 1 der RL 2002/58 in der durch die RL 2009/136 geänderten Fassung ist im Licht der Art 7, 8 und 11 sowie des Art 52 Abs 1 der Charta der Grundrechte dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die den Schutz und die Sicherheit der Verkehrs- und Standortdaten, insb den Zugang der zuständigen nationalen Behörden zu den auf Vorrat gespeicherten Daten zum Gegenstand hat, ohne im Rahmen der Bekämpfung von Straftaten diesen Zugang ausschließlich auf die Zwecke einer Bekämpfung schwerer Straftaten zu beschränken, ohne den Zugang einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsbehörde zu unterwerfen und ohne vorzusehen, dass die betreffenden Daten im Gebiet der Union auf Vorrat zu speichern sind.

Artikel-Nr.
Rechtsnews Nr. 22833 vom 23.12.2016