Der EuGH hat sich nun – endlich – auch zur deutschen Vorratsdatenspeicherung geäußert und wie erwartet entschieden: Sie war und ist rechtswidrig – bis auf wenige Ausnahmen. Was sind die Hintergründe? Und was folgt daraus?
Seit 2005 die ersten Regeln zur Vorratsdatenspeicherung eingeführt wurden, ist die anlasslose Speicherung von Verkehrs- und Standortdaten ein Zankapfel zwischen Telekommunikationsunternehmen und Strafverfolgern. Während letztere argumentieren, auf die gespeicherten Verkehrs- und Standortdaten angewiesen zu sein, um Kriminalität angemessen bekämpfen zu können, stöhnen die Telekommunikationsanbieter über Mehraufwand und technische Schwierigkeiten.
Nachdem der Europäische Gerichtshof (EuGH) sich in anderen Verfahren bereits zu Regelungen aus verschiedenen Ländern geäußert hatte, entschied er nun zur deutschen Rechtslage und entschied: Die deutsche Vorratsdatenspeicherung verstößt gegen Unionsrecht und bleibt damit unzulässig (Urt. v. 20.09.2022, Rs. C-793/19 und C-794/19). Damit folgte er im Wesentlichen den Anträgen des Generalanwalts Manuel Campos Sáchez-Bordona.
Worum geht es?
Die Pflicht zur Speicherung von Verkehrs- und Verbindungsdaten ist schon seit vielen Jahren ein Streitthema zwischen Datenschützern und Strafverfolgern. Den ersten Aufschlag machte der Europäische Gesetzgeber bereits im Jahre 2005 mit der Richtlinie über die Vorratsdatenspeicherung (RL 2006/24/EG). Diese war im Jahre 2005 nach den Terroranschlägen auf Personenzüge in Madrid auf Druck von England, Schweden, Frankreich und Irland vom Europäischen Gesetzgeber beschlossen worden und verpflichtete die Mitgliedsstaaten, Gesetze zu erlassen, die es ermöglichen, bestimmte Daten, die bei der Nutzung von Telekommunikationsmedien anfallen, mindestens sechs Monate und höchstens zwei Jahre lang zu speichern.
Gespeichert werden sollten insbesondere Verkehrs- und Standortdaten. Kommunikationsinhalte sollten hingegen nicht gespeichert werden. Unter Federführung der damaligen Justizministerin Brigitte Zypries (SPD, Kabinett Merkel I) verabschiedete der Bundestag schließlich das „Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG“, das die anlasslose Vorratsdatenspeicherung für eine Dauer von sechs Monaten erlaubte.
Nachdem 35.000 Bürger Verfassungsbeschwerde gegen das Gesetz erhoben hatten, erklärte das Bundesverfassungsgericht (BVerfG) es 2010 wegen Verletzung der Telekommunikationsfreiheit (Art. 10 GG) in Teilen für nichtig (Az. 1 BvR 256/08). Dabei machten die Richter klar, dass die Vorratsdatenspeicherung durchaus verfassungskonform ausgestaltet werden könne und machten dem Gesetzgeber hierzu detaillierte Vorgaben.
2015 verabschiedete der Bundestag daraufhin das „Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“, welches die Anforderungen aus Karlsruhe unter anderem durch eine Verkürzung der Speicherfrist auf – je nach Art der Daten – vier beziehungsweise zehn Wochen und die Begrenzung auf besonders gravierende Straftaten umzusetzen versuchte.
Richtlinie verstößt gegen Grundrechtecharta
Allerdings wurden die Bemühungen des deutschen Gesetzgebers in der Zwischenzeit wiederum durch eine Entwicklung auf europäischer Ebener überholt: So hatte der EuGH bereits 2014 auf Vorlagefragen aus Irland und Österreich hin entschieden, dass die Richtlinie über die Vorratsdatenspeicherung gegen die Europäische Grundrechtecharta verstößt und daher ihrerseits nichtig ist. Zum Zeitpunkt der Verabschiedung des neuen Gesetzes durch den Bundestag war ein solches Gesetz europarechtlich also bereits problematisch. Nicht geklärt war mit dem EuGH-Verfahren aber die Frage, ob der deutsche Gesetzgeber die Vorratsdatenspeicherung trotzdem erlauben durfte.
Die Deutsche Telekom AG und der Münchener Cloud- und Hostinganbieter SpaceNet meinten: Nein. Ihrer Ansicht nach verstieß das deutsche Gesetz gegen Europarecht. Die beiden Unternehmen beklagten unverhältnismäßigen Mehraufwand und technische Schwierigkeiten bei der Umsetzung. So sei es etwa kaum möglich, lediglich die erlaubten Daten zu speichern, ohne dabei auch solche Daten mitzuerfassen, die gar nicht gespeichert werden dürften. Sie klagten daher vor den deutschen Verwaltungsgerichten. 2017 setze das Oberverwaltungsgericht Münster (OVG) die Vorratsdatenspeicherung für die privaten Unternehmen daher einstweilen aus. Zurzeit liegt die Sache beim BVerwG, welches das Revisionsverfahren aber ausgesetzt hatte, um dem EuGH die Fragen nach der Europarechtskonformität vorzulegen.
So hat der EuGH entschieden
Wie bereits im Vorfeld erwartet worden war, hat der Europäische Gerichtshof entschieden, dass das Unionsrecht einer rein präventiven, allgemeinen und unterschiedslosen Speicherung von Verkehrs- und Standortdaten grundsätzlich entgegensteht.
Allerdings erlaubt der Gerichtshof Ausnahmen zur Bekämpfung schwerer Kriminalität. Konkret halten die Luxemburger Richter folgende Regelungen für möglich:
- Zeitlich begrenzte, richterlich kontrollierbare Anordnung der allgemeinen und unterschiedslosen Vorratsdatenspeicherung im Fall einer realen und aktuell oder vorhersehbar einzustufenden ernsten Bedrohung für die nationale Sicherheit.
- Gezielte Vorratsdatenspeicherung für einen begrenzten Zeitraum zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen für die öffentliche Sicherheit.
- Für dieselben und einen auf das absolut Notwendige begrenzten Zeitraum eine allgemeine und unterschiedslose Vorratsdatenspeicherung von IP-Adressen.
- Zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zum Schutz der öffentlichen Sicherheit eine allgemeine und unterschiedslose Vorratsspeicherung der Daten, die Auskunft über die Identität der Nutzer geben.
- Beauftragung von Betreibern elektronischer Kommunikationsdienste, während eines festgelegten Zeitraums die ihnen zur Verfügung stehenden Verkehrs- und Standortdaten umgehend zu sichern, soweit es zur Bekämpfung schwerer Kriminalität und zum Schutz der nationalen Sicherheit erforderlich ist.
Verdachtslose Speicherung bleibt in Teilen erlaubt
Auch wenn die anlasslose Speicherung von Telefonverbindungs- und Standortdaten für unzulässig erklärt wurde, ist damit klarzustellen, dass die anlasslose Speicherung bestimmter Daten möglich bleibt. Durch die Ausnahme für IP-Adressen ist es insbesondere weiterhin möglich, Internetverbindungsdaten zu speichern. Hierfür hatte sich im Vorfeld Innenministerin Nancy Faeser stark gemacht, die diese Art von Daten als notwendig ansieht, um Missbrauchsdarstellungen und Kinderpornografie im Netz zu bekämpfen. Ob es zu diesem Zweck wirklich nötig ist, den „digitalen Fingerabdruck“ eines jeden Internetnutzers anlasslos zu speichern, ist allerdings zweifelhaft. So deuten Statistiken darauf hin, dass die Aufklärungsrate von derartigen Straftaten sogar zurückgeht, weil Täter dazu veranlasst werden, Anonymisierungsstrategien zu nutzen.
Das plant die Bundesregierung
Die Bundesregierung strebt schon seit Längerem eine Neuregelung an. Das Thema ist allerdings zum Zankapfel der Koalitionäre geworden. Während Innenministerin Faeser im Vorfeld ankündigte, die Grenzen, die der EuGH aufzeigen würde, voll ausreizen zu wollen, herrscht bei Grünen und FDP Skepsis. Offen zeigten sich Politiker dieser Parteien allerdings für den von Bundesjustizminister Marco Buschmann (FDP) unterbreiteten Vorschlag eines „Quick Freeze“. Bei dieser Variante werden die Verkehrs- und Standortdaten nur einige Tage (z.B. eine Woche) gespeichert und dann automatisch gelöscht. Kommt in der Zwischenzeit der Verdacht einer Straftat auf, haben die Strafverfolgungsbehörden aber die Möglichkeit, nach Entscheidung eines Richters ein „Einfrieren“ der Daten anzuordnen und so die Löschung zu verhindern. Erhärtet sich der Verdacht, kann dann auf die Daten zu Strafverfolgungszwecken zugegriffen werden. Diese Variante hält der EuGH offenbar für zulässig (vgl. die letzte der aufgelisteten Ausnahmen).
Französische Regelung zur Bekämpfung von Insiderhandel ebenfalls unzulässig
Ebenfalls am gleichen Tage hat der EuGH in einem Vorabentscheidungsersuchen (Rs. C-339/20 und C-397/20) des Cour de cassation (höchstes französisches Gericht) eine französische Regelung für unzulässig erklärt, welche die allgemeine und unterschiedslose Vorratsdatenspeicherung für bis zu ein Jahr zum Zwecke der Bekämpfung von Straftaten des Marktmissbrauchs – etwa Insidergeschäfte – vorsahen. Auf mögliche Ausnahmen kam das Gericht in dieser Sache nicht zu sprechen. Stattdessen bemerkten die Richter, dass bereits vor der Entscheidung gespeicherte Daten nur sehr eingeschränkt als Beweismittel verwertbar sind.
Rechtsprechung des EuGH bislang
Mit der Entscheidung setzt der EuGH seine bisherige Linie fort. Tatsächlich hat das höchste Europäische Gericht schon einige Entscheidungen zur Vorratsdatenspeicherung gefällt, denn nicht nur aus Deutschland erreichten es Verfahren. So hatte der EuGH bereits 2020 auf vorgelegte Fragen von Gerichten aus Großbritannien, Frankreich und Belgien entschieden, dass die anlass- und unterschiedslose Vorratsdatenspeicherung unzulässig ist, aber Ausnahmen zur Bekämpfung schwerer Kriminalität möglich sind. Im Frühjahr 2022 bestätigte das Gericht diese Linie im Rahmen eines Vorabentscheidungsersuchens aus Belgien.
