Internet-Law

Onlinerecht und Bürgerrechte 2.0

8.4.14

EuGH kassiert Richtlinie über Vorratsdatenspeicherung komplett

Zu der mit Spannung erwarteten Entscheidung des Europäischen Gerichtshofs (EuGH) zur Vorratsdatenspeicherung (Urteil vom 08.04.2014, Az.: C – 293/12 und C – 594/12) liegt bislang nur die Pressemitteilung vor.

Die gute Nachricht lautet in jedem Fall, dass der EuGH die Richtlinie vollständig für ungültig erklärt hat und insoweit eine zeitliche Begrenzung nicht vorgenommen hat. Es gibt damit keinerlei Übergangsregelungen, die Unwirksamkeit wirkt auf den Zeitpunkt des Inkrafttretens der Richtlinie zurück.

Damit steht auch fest, dass es keine europarechtliche Verpflichtung der Bundesrepupublik Deutschland gibt, eine Vorratsdatenspeicherung einzuführen.

Ob und in welchem Umfang die Entscheidung des EuGH Raum bietet für den Erlass einer neuen Richtlinie, wird sich erst nach eingehender Lektüre des Volltexts beurteilen lassen. Die politische Diskussion muss nach dieser Entscheidung von vorne beginnen, ein nationaler Alleingang und Schnellschuss in Deutschland – den die Union offenbar plant – ist nicht tunlich.

Der EuGH sieht in der Verpflichtung zur Vorratsspeicherung und der Gestattung des Zugangs der zuständigen nationalen Behörden zu ihnen einen besonders schwerwiegenden Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten.

Das Gericht geht allerdings davon aus, dass der Eingriff gerechtfertigt sein könnte, aber durch die konkrete Ausgestaltung der Richtlinie nicht ist. In der Pressemitteilung des EuGH heißt es hierzu:

Zwar ist die nach der Richtlinie vorgeschriebene Vorratsspeicherung der Daten zur Erreichung des mit ihr verfolgten Ziels geeignet, doch beinhaltet sie einen Eingriff von großem Ausmaß und von besonderer Schwere in die fraglichen Grundrechte, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Erstens erstreckt sich die Richtlinie nämlich generell auf sämtliche Personen, elektronische Kommunikationsmittel und Verkehrsdaten, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen.

Zweitens sieht die Richtlinie kein objektives Kriterium vor, das es ermöglicht, den Zugang der zuständigen nationalen Behörden zu den Daten und deren Nutzung zwecks Verhütung, Feststellung oder strafrechtlicher Verfolgung auf Straftaten zu beschränken, die im Hinblick auf das Ausmaß und die Schwere des Eingriffs in die fraglichen Grundrechte als so schwerwiegend angesehen werden können, dass sie einen solchen Eingriff rechtfertigen. Die Richtlinie nimmt im Gegenteil lediglich allgemein auf die von jedem Mitgliedstaat in seinem nationalen Recht bestimmten „schweren Straftaten“ Bezug. Überdies enthält die Richtlinie keine materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung. Vor allem unterliegt der Zugang zu den Daten keiner vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle.

Drittens schreibt die Richtlinie eine Dauer der Vorratsspeicherung der Daten von mindestens sechs Monaten vor, ohne dass eine Unterscheidung zwischen den Datenkategorien anhand der betroffenen Personen oder nach Maßgabe des etwaigen Nutzens der Daten für das verfolgte Ziel getroffen wird.

Die Speicherungsfrist liegt zudem zwischen mindestens sechs und höchstens 24 Monaten, ohne dass die Richtlinie objektive Kriterien festlegt, die gewährleisten, dass die Speicherung auf das absolut Notwendige beschränkt wird. Darüber hinaus stellt der Gerichtshof fest, dass die Richtlinie keine hinreichenden Garantien dafür bietet, dass die Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang und jeder unberechtigten Nutzung geschützt sind. Unter anderem gestattet sie es den Diensteanbietern, bei der Bestimmung des von ihnen angewandten Sicherheitsniveaus wirtschaftliche Erwägungen (insbesondere hinsichtlich der Kosten für die Durchführung der Sicherheitsmaßnahmen) zu berücksichtigen, und gewährleistet nicht, dass die Daten nach Ablauf ihrer Speicherungsfrist unwiderruflich vernichtet werden.

Der Gerichtshof rügt schließlich, dass die Richtlinie keine Speicherung der Daten im Unionsgebiet vorschreibt. Sie gewährleistet damit nicht in vollem Umfang, dass die Einhaltung der Erfordernisse des Datenschutzes und der Datensicherheit durch eine unabhängige Stelle überwacht wird, obwohl die Charta dies ausdrücklich fordert. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten.

Update:
Der Volltext der Entscheidung ist leider nicht wesentlich ergiebiger als die Pressemitteilung. Der EuGH hat keine wirklich konkreten Vorgaben gemacht, wie seine Rechtsprechung in eine grundrechtskonforme Richtliniengestaltung umzusetzen sein könnte.

Bereits das Urteil des BVerfG ist nicht einfach umsetzbar, aber nach dieser Entscheidung lässt sich juristisch kaum mehr prognostizieren, wo genau die Grenzen einer zulässigen und grundrechtskonformen Vorratsdatenspeicherung verlaufen.

Es könnte zwar durchaus einen neuen Anlauf für eine Vorratsdatenspeicherung geben, sowohl auf europäischer als auch auf nationaler Ebene. Stichhaltige Kriterien für eine grundrechtskonforme Ausgestaltung liefert der EuGH aber nicht. Vielleicht war auch genau das seine Absicht. Man darf deshalb annehmen, dass es so schnell keine neue Richtlinie über eine Vorratsdatenspeicherung geben wird, weil niemand so genau sagen kann, wie sie auszugestalten wäre. Was das für die Ambitionen von Bundesinnenminister de Maizière bedeutet, der gestern noch kräftig für eine züggige Einführung der Vorratsdatenspeicherung trommelte, bleibt abzuwarten. Mit Brecht könnte man also sagen: “Den Vorhang zu und alle Fragen offen.”

Der österreichische Kollege Hans Peter Lehofer weist allerdings zu recht darauf hin, dass auch eine (autonome) nationale Regelung den Anforderungen des EuGH genügen muss. Man kann also in Deutschland keinesfalls nunmehr am Maßstab der Entscheidung des BVerfG eine Neuregelung stricken, sondern muss vielmehr die vermutlich strengeren, jedenfalls unklareren Vorgaben des EuGH ebenfalls berücksichtigen.

posted by Stadler at 12:29  

13 Kommentare »

  1. Was passiert jetzt mit dem Gerichtsverfahren, das die EU-Kommission gegen die Bundesrepublik eingeleitet hatte, weil die Richtlinie nicht umgesetzt wurde?

    Comment by Marvin — 8.04, 2014 @ 12:55

  2. Volltext unter
    http://www.janalbrecht.eu/fileadmin/material/Dokumente/C_0293_2012_DE_ARR.pdf

    Comment by Ernst — 8.04, 2014 @ 13:07

  3. Das Verfahren wird entweder eingestellt oder, um der guten Ordnung willen, zu Ende geführt. Ein Verstoß lag ja vor, das Verfahren nach Art. 258 AEUV ist damit zulässig und kann in einem Urteil iRd Art. 260 AEUV enden.
    Die “Maßnahmen, die sich aus dem Urteil ergeben” sind natürlich hinfällig: Da die RL nichtig ist, kann es auch keine Maßnahmen mehr geben, durch die die BRD zu ihrer Umsetzung angehalten werden kann. Nach Art. 260 Abs. 2 UAbs. 2 kommt auch kein pauschaliertes Zwangsgeld in Betracht, denn dafür bräuchte es erst einmal einen Verstoß gegen ein Urteil des EuGH (das es ja noch nicht gibt).

    Kurz um: Einstellung oder erhobenen Zeigefinger.

    Comment by silux — 8.04, 2014 @ 13:15

  4. @silux

    Soweit ich gelesen habe, ist die RL komplett nichtig, somit kann doch auch kein Verstoss vorliegen.

    Comment by sj — 8.04, 2014 @ 13:35

  5. Ergänzend (nach Heise) meint der EuGH, können sehr genaue Schlüsse auf das Privatleben der Personen [...] gezogen werden. Der EuGH verurteilt das als schweren Eingriff in Grundrechte.

    Ich meine, das gilt auch die Speicherung von IP-Adressen wenn die via GEO-IP einem Standort zugeordnet werden können. Insbesondere bei Leuten, die viel reisen, können so problematische Profile erstellt werden.

    Die Hürden des EuGH scheinen mir also immer noch nicht hinreichend.

    Comment by Joachim — 8.04, 2014 @ 14:19

  6. @sj:
    Hier möchte ich mich nicht zu weit aus dem Fenster lehnen, das Europarecht ist nicht meine vorderstes Betätigungsfeld.
    Im Ergebnis haben Sie vermutlich Recht (wenn Art. 264 AEUV auch im Vorabentscheidugnsverfahren anwendbar ist, das ist im Einzelnen wohl umstritten). Die Nichtigerklärung der RL gem. Art. 264 Abs. 1 AEUV wirkt, sofern nicht – hier nicht der Fall – eine Fortwirkung nach Abs. 2 angeordnet wird, zurück. Diese Entscheidung gilt auch gegenüber jedermann. Dazu auch jeweils Cremer in: Calliess/Ruffert, EUV/AEUV 4. Aufl. 2011, Art. 264 Rn. 1, 3.

    Dann könnte das Vertragsverletzungsverfahren wohl in der Tat nur noch einen eigenen Bestand haben, wenn bereits ein rechtskräftiges Urteil existiert. Dessen Wirkungen würden dann nicht automatisch entfallen, sondern bedürften einer eigenen Aufhebung. Für das laufende Verfahren dürfte der rückwirkende Wegfall der RL aber in der Tat das Ende bedeuten.

    @Joachim: Ich glaube Ihre Kritik an “den Hürden des EuGH” ist verfehlt. Im Urteil heißt es, in der Passage auf die Sie sich wohl beziehen (sowie der vorhergehenden Rn.):
    “Rn. 26 Hierzu ist festzustellen, dass es sich bei den Daten, die von den Anbietern [...] zu speichern sind, u.a. um [...] handelt [...] sowie bei Internetdiensten eine IP Adresse gehören. [...]

    Rn. 27 Aus der Gesamtheit dieser Daten können sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert wurden, gezogen werden, etwa auf Gewohnheiten
    des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren.”

    Der EuGH hat ausdrücklich auch die Voratsspeicherung von IPs für unionsrechtswidrig erklärt. Das IPs nach der Rechtsprechung des EuGH personenbezogene Daten sind ist auch nicht neu (s. nur die, hinsichtlich des Ansatzes zur Personenbezogenheit leider etwas seichte, Entscheidung “Scarlet/SABAM”, Rs. C-70/10).
    Was hätten Sie sich mehr erhofft?

    Comment by silux — 8.04, 2014 @ 15:40

  7. @silux

    Besten Dank noch für die Ausführungen.

    Comment by sj — 8.04, 2014 @ 16:07

  8. Liest man das Urteil, dann steht da doch schon sehr genau drin was den Gerichtshof nicht passt:
    * dass es anlasslos ist
    * dass es alle Bürger betrifft
    * dass der Zugriff auf die Daten nicht kontrolliert wird
    * dass die Daten die EU verlassen können.

    Insofern finde ich die in deutschen Medien geäusserte Ansicht sehr irreleitend, das Urteil spreche nicht generell gegen eine Vorratsdatenspeicherung. Denn es spricht sehr wohl gegen eine Speicherung auf Vorrat. Was es erlaubt ist eine Speicherung *nach* einem Anlass auf einen begrenzten Personenkreis.

    Comment by Ingo — 8.04, 2014 @ 16:09

  9. Eine im Prinzip zu begrüßende Entscheidung, wenn auch hochgradig peinlich für einen nicht unerheblichen Teil der classe politique, die Daten saugt als gäbe es kein Zurück mehr.

    Man kann folgenden Ablauf prognostizieren: erst einmal lässt man wie gewohnt Gras über die Sache wachsen, bis sich der größte Lärm gelegt hat, dann erklärt man, dass die Entscheidung in den Fällen a bis c, u bis z, oder wann auch immer, nicht bindet.

    Zwischenzeitlich werden weiter Daten auf Vorrat gesammelt und an unbekannter Stelle abgelegt.

    Dann kommt das Vorratsdatenspeicherungs-optimierungsgesetz: dies sieht dann nicht nur die Erfassung aller Metadaten vor ( Verbindungs-
    daten usf. ), sondern im Gefolge weiterer Geheimdienstreformen dazu auch noch die
    Speicherung aller Inhalte, zeitlich unbefristet
    und ohne nationale Beschränkungsmöglichkeit, und unter Ausschluss des Rechtsweges.

    Im Zuge einer Strafprozessoptimierungsverordnung
    wird schließlich der Datenbestand zur freien Verfügung der Strafverfolgungsbehörden, des Militärs und privater Anbieter gestellt.

    Das wird dann verkauft als Triumph von Rechtsstaat und Demokratie, Meinungsfreiheit und
    als Apotheose der Eigentumsgarantie. Wer nörgelt wird unter Sicherungsarrest gestellt.

    Gute Nacht.

    Comment by Arne Rathjen, Rechtsanwalt — 8.04, 2014 @ 23:21

  10. @Arne

    und damit man ungestört durchregieren kann ist der nächste Coup schon in Arbeit:

    http://www.heise.de/tp/artikel/41/41460/1.html

    bombjack

    Comment by bombjack — 9.04, 2014 @ 07:28

  11. @Thomas Stadler (Update):
    Vorbehaltlos zustimmen möchte ich Ihnen, was die Bewertung des Urteils selbst und die Einschätzung seiner Implikationen für unseren diensteifrigen Innenminister bedeuten.

    Widersprechen möchte ich allerdings, was die Übertragung auf nationale Normen angeht, für die Sie auch den Kollegen Lehofer bemühen:
    Der EuGH hat seine Prüfung anhand der Grundrechte nach der EU-GRCh vorgenommen. Die in seinem Urteil aufgestellten Voraussetzungen sind in den Mitgliedsstaaten bei der Anwendung nationaler Vorschriften daher nur soweit anwendbar, als es sich um die Durchführung von Unionsrecht handelt, Art. 51 Abs. 1 EU-GRCh. Das ist bei einer nationalstaatlichen Norm nicht zwingend der Fall (und auch nicht direkt naheliegend, wenn sie keinen Umsetzungsakt darstellt).

    Mir scheint auch, dass Lehofer keine derart allgemeine Aussage getroffen hat, sondern die Vorgaben des EuGH auf nationalstaatliche Normen nach Art. 15 der RL 2002/58/EG übertragen wissen möchte. Hier wäre wegen der Durchführung von (transformiertem) Unionsrecht eine Übertragung wohl auch zwingend (zur Durchführung von Unionsrecht vertiefend Kingreen in: Calliess/Ruffert EUV/AEUV, 4. Aufl. 2011, Art. 51 EU-GRCh Rn. 8 ff.).

    Comment by silux — 9.04, 2014 @ 10:06

  12. @Silux:
    Die (eurparechtliche) Frage ist aber die, ob eine neue nationale Regelung zur Vorratsdatenspeicherung nicht immer in den Anwendungsbereich von Art. 15 der RL 2002/58 fällt. Denn eine nationale Regelung einer VDS schränkt die Rechte des Bürgers aus der RL ein, u.a. im Hinblick auf die Verabreitung von Verkehrsdaten (Art. 6). Das geht zwar u.a. für Zwecke der Strafverfolgung oder der öff. Sicherheit, aber die Rechtsfolge von Art. 15 Abs. 1 S. 3 ist die, dass solche Maßnahmen dann immer allgemein den Anforderungen des Gemeinschaftsrechts genügen müssen.

    Unabhängig von dieser spezifischen Problematik stützt sich der EuGH maßgeblich auf die MRK und die gilt natürlich auch in Deutschland.

    Ich glaube außerdem kaum, dass sich das BVerfG in einer neuen Entscheidung über eine VDS auf ein Niveau unterhalb dessen, was der EuGH jetzt vorgegeben hat, zurückbewegen wird.

    Comment by Stadler — 9.04, 2014 @ 11:12

  13. Hinzuzusetzen wäre: die kalte Logik, auf die
    Feststellung der Menschenrechtswidrigkeit einer
    Norm oder sonstiger Akte damit zu reagieren, dass
    eine noch extremer rechtswidrige Gesetzesvorlage
    eingebracht wird, ist wohl kein ausschließlich deutsches Problem. Und: dies wird seit geraumer Zeit, also mehreren Jahrzehnten so betrieben,
    was in den neunziger Jahren – lange ist es her -
    einigen Aufruhr in der juristischen Publikationslandschaft hervor gerufen hat.

    Dies betrifft beileibe nicht nur Persönlichkeitsrechte und Datenschutz. Diese Form der Rechtspolitik hat vor allem ein Ziel: das GELD.

    Die Eigentumsgarantie ist auch bereits aufgeweicht, und am Horizont kann man den
    “EU-Gerechtigkeitfonds” sehen, in dem Bankkonten,
    Versicherungsguthaben aller Art, ein großer Teil des Immobilienvermögens und anderes gepoolt wird,
    um die Zinszahlungen von Problemstaaten zu ermöglichen.

    Dann ist aber genau bekannt, wer sich der moralischen Ordnung widersetzt.

    Comment by Arne Rathjen, Rechtsanwalt — 9.04, 2014 @ 18:58

RSS-Feed für Kommentare zu diesem Beitrag.

Hinterlasse einen Kommentar