Willkommen in der Grundrechtsunion!

Ein Beitrag zur Ungültigkeit der Vorratsdatenspeicherungsrichtlinie

von LORIN JOHANNES WAGNER

Lorin WagnerMit seinem Urteil vom 8.4.2014 (EuGH, Rs C-213/12, Digital Rights Ireland) zur Ungültigkeit der Richtlinie 2006/24/EG (VorratsdatenspeicherungsRL) hat der EuGH seine neuere Grundrechtsjudikatur um eine weitere Facette bereichert.

Mit seiner Entscheidung befördert der Gerichtshof dieses von Anfang an umstrittene Konstrukt einer europäischen Sicherheitsvision in das Archiv der europäischen Rechtsgeschichte. Bemerkenswert ist dabei nicht nur, wie lange es gedauert hat, einen grundrechtskonformen Zustand (wieder) herzustellen, sondern auch, mit welcher Vehemenz der EuGH die VorratsdatenspeicherungsRL nunmehr ins Aus verfrachtet. Anders noch als GA Villalón, der in seinen vorweihnachtlichen Schlussanträgen zwar ebenso die volle Ungültigkeit der VorratsdatenspeicherungsRL ausgerufen hatte, diese aber unter deutlich weniger einschränkende Vorzeichen setzte, nimmt der EuGH mit seinem Urteil Anlauf, die anlasslose Vorratsdatenspeicherung von Verkehrsdaten nahezu der gesamten „europäischen Bevölkerung“ (sic! [Rn 56]) auch für die Zukunft gänzlich zu unterbinden.

Von besonders schweren Eingriffen

Ausgangspunkt und grundrechtliches Fundament für dieses Ergebnis sind dabei die in den Vorlagefragen des irischen High Court und des österreichischen Verfassungsgerichtshofs (ua) angeführten Art 7 und 8 GRC. Diese beiden Rechte sind dem Urteil nach – zumindest auf Eingriffsebene – von einander zu unterschieden. Während nämlich der Eingriff in Art 7 GRC über den Gesamtkontext – also einerseits die massenhafte Vorratsspeicherung von Verkehrsdaten durch die Anbieter öffentlicher elektronischer Kommunikationsdienste und Betreiber öffentlicher Kommunikationsnetze (Rn 34) und andererseits den Zugang zu diesen Daten für nationale Behörden (Rn 35) – hergestellt wird, ist es aus dem Blickwinkel von Art 8 GRC ausreichend, dass eine Verarbeitung personenbezogener Daten vorliegt (Rn 36).

Vor dem Hintergrund der umfassenden Speicherung, der mangelnden Vorgaben für die Speicherung der Daten sowie deren weiteren Nutzung durch die nationalen Behörden und dem hierdurch erzeugten Gefühl einer ständigen Überwachung des Privatlebens statuiere die VorratsdatenspeicherungsRL darüber hinaus besonders schwere Eingriffe in Art 7 und 8 GRC (Rn 37).

Wesensgehalt und wessen (Grundrechts-)Gehalt

Ausgehend von dieser besonderen Schwere der Eingriffe nimmt der Gerichtshof auf Rechtfertigungsebene auch sogleich die Beeinträchtigung des Wesensgehalts der betroffenen Grundrechte in Blick. Dieser auf den Schutz des Kernbereichs gerichtete Prüfschritt – hier sei nebenbei das Bonmot von Roman Herzog zur Verankerung des Wesensgehalts in Art 52 Abs 1 GRC in Erinnerung gerufen: dies „nütze […] zwar nicht viel, sei aber unschädlich“ – scheitert jedoch in Bezug auf Art 7 GRC und auch Art 8 GRC. Der Wesensgehalt von Art 7 GRC sei deshalb nicht berührt, weil die Vorratsdatenspeicherung von Verkehrsdaten „die Kenntnisnahme des Inhalts elektronischer Kommunikation als solchen nicht gestattet“ (Rn 39). Der Wesensgehalt von Art 8 GRC wiederum sei nicht angetastet, da die VorratsdatenspeicherungsRL – wenn auch nur schwach ausgeprägt – Vorschriften zum Datenschutz und zur Datensicherheit enthalte (Rn 40).

Abgesehen von der hieraus abzuleitenden Feststellung, dass der Schutz des Wesensgehalts keinen wie auch immer gelagerten Teil der Verhältnismäßigkeitsprüfung darstellt, sondern einen für sich selbst stehenden Kernbereichsschutz zum Gegenstand hat, sind die Ausführungen insbes im Hinblick auf den „genuinen“ Gehalt von Art 8 GRC von Interesse. Soweit der EuGH nämlich den (Kern-)Gehalt von Art 8 GRC in Betracht nimmt, verkürzt er diesen auf die Absicherung der Grundsätze des Datenschutzes und der Datensicherheit, also den Schutz der Daten „gegen zufällige oder unrechtmäßige Zerstörung sowie zufälligen Verlust oder zufällige Änderung“ (Rn 40). Das eigentliche Schutzgut, und damit der eigentliche Sinn und Zweck dieser Grundsätze, ergibt sich erst aus der Verknüpfung mit dem Recht auf Privatleben. Entsprechend hält der EuGH nachfolgend bei der Frage, ob sich die durch die VorratsdatenspeicherungsRL vorgezeichneten Einschränkungen der Grundrechte auf das absolut notwendige beschränken, fest, „dass der Schutz personenbezogener Daten, zu dem Art. 8 Abs. 1 der Charta ausdrücklich verpflichtet, für das in ihrem Art. 7 verankerte Recht auf Achtung des Privatlebens von besonderer Bedeutung ist.“(Rn 53) Nach diesem Verständnis ist Art 8 GRC wohl mehr als prozedurales Grundrecht denn als eigenständiges Freiheitsrecht zu deuten, dessen eigentlicher Schutzgehalt sich erst im Zusammenwirken mit Art 7 GRC bestimmen lässt.

Die Verhältnismäßigkeit des absolut Notwendigen

Die Prüfung der absoluten Notwendigkeit, die vom EuGH unter dem Überschrift der „Erforderlichkeit“ abgehandelt wird (Rn 51 f) – inhaltlich handelt es sich eher um eine Vermengung von Erforderlichkeits- und Angemessenheitsprüfung –, bildet den Dreh- und Angelpunkt für die Ungültigkeit der VorratsdatenspeicherungsRL. Der EuGH konzentriert sich zum einen auf den Fragenkomplex, ob die RL klare und präzise Regelungen für die Tragweite und Anwendung der Vorratsdatenspeicherung an sich sowie für die Verwendung durch die nationalen Behörden enthält und zum anderen auf den Fragenkomplex, ob die VorratsdatenspeicherungsRL ausreichende Garantien normiert, „die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen“ (Rn 54).

In Bezug auf den ersten Fragenkomplex hält der EuGH fest, dass die Vorratsdatenspeicherung ohne geografische, zeitliche oder personelle Einschränkung, die einen Zusammenhang zwischen dem Ziel der VorratsdatenspeicherungsRL, nämlich der Bekämpfung schwerer Straftaten, und den tatsächlich gespeicherten Daten erkennen lasse, nicht den Vorgaben für eine klare und präzise Regelung genüge (Rn 57 ff). Ebenso fehle es der VorratsdatenspeicherungsRL an objektiven Kriterien für den Zugang und an materiell- oder verfahrensrechtlichen Vorschriften für den Zugang und die Nutzung der Daten durch die nationalen Behörden (Rn 60 ff)– der EuGH moniert insbes, dass der Zugang durch die nationalen Behörden keine vorgelagerte Kontrolle durch ein Gericht oder unabhängige Verwaltungsstelle vorsehe (Rn 62). Und schließlich genüge auch die Festlegung der Speicherungsfrist in einem Rahmen von 6 bis 24 Monaten ohne objektive Kriterien nicht den Vorgaben an eine auf das absolut Notwendige beschränkte Regelung (Rn 63 f).

Der zweite Fragenkomplex betrifft die Frage des Schutzes vor Missbrauchsrisiken der durch die privaten Telekommunikationsanbieter gespeicherten Verkehrsdaten. Als problematisch erweist sich dabei, dass die RL den Telekommunikationsanbietern gestattet, die Bestimmung des Sicherheitsniveaus vor dem Hintergrund „wirtschaftliche[r] Erwägungen hinsichtlich der Kosten für die Durchführung der Sicherheitsmaßnahmen“ (Rn 67) festzulegen und damit die Vorgaben für ein besonders hohes Schutz- und Sicherheitsniveau zu sorgen, unterläuft. So sei insbes nicht gewährleistet, „dass die Daten nach Ablauf ihrer Speicherungsfrist unwiderruflich vernichtet werden“ (Rn 67). Darüber hinaus erweist sich auch die fehlende Vorgabe für die Telekommunikationsanbieter, die Daten im Unionsgebiet auf Vorrat zu speichern, als problematisch. Ausgehend von Art 8 Abs 3 GRC stelle nämlich die Überwachung durch eine unabhängige Stelle einen „wesentliche[n] Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten“ (Rn 68) dar.

Betrachtet man die Erwägungen des EuGH zur Rechtfertigungsebene in einer Gesamtschau, so stellt man bemerkenswerterweise fest, dass sich der EuGH in der Struktur der Prüfung – und damit letztlich auch in Bezug auf die Vorgaben für eine allenfalls zulässige Vorratsdatenspeicherung – weniger an Art 52 Abs 1 GRC orientiert als vielmehr – freilich ohne dies ausdrücklich zu benennen– an Art 8 Abs 2 GRC. So lassen sich alle Erwägungen in Bezug auf den ersten Fragenkomplex, also ob die RL klare und präzise Regelungen in Bezug auf die Erhebung, Speicherung und Nutzung enthalte auch unter dem Gesichtspunkt Zweckbindung formulieren, während sich der zweite Fragenkomplex, der die Frage des Datenmissbrauchs in Blick nimmt, letztlich auf den Grundsatz von Treu und Glauben zurückführen lässt. Die hierbei vom EuGH gezogene Verknüpfung mit Art 8 Abs 3 GRC ist auch deshalb interessant, weil die Vorgabe einer unabhängigen Kontrolle damit nicht nur als eine institutionelle Bewährung des Grundrechts auf den Schutz personenbezogener Daten zu lesen ist, sondern als „wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten“ (Rn 68) offensichtlich selbst Teil des subjektiven Grundrechtsanspruchs ist.

VorratsdatenspeicherungsRL a.D. – zu den Folgen auf unionsrechtlicher und mitgliedstaatlicher Ebene

Wie aus diesen Erwägungen ersichtlich wird, hat der EuGH die Fesseln für eine allfällige Neuauflage einer VorratsdatenspeicherungsRL deutlich angezogen. Tatsächlich scheint insbes eine Vorratsdatenspeicherung, die sich ohne Einschränkung oder Differenzierung auf die gesamte europäische Bevölkerung erstreckt, gänzlich ausgeschlossen. Da der EuGH – im Übrigen ähnlich wie bereits auch GA Villalón in seinen Schlussanträgen – eine Vorratsdatenspeicherung offensichtlich nur dann für zulässig erachtet, wenn das Unionsrecht selbst „materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung“ (Rn 61) festlegt, scheint auch der Erlass einer Neuauflage der VorratsdatenspeicherungsRL auf Basis der Binnenmarktkompetenz (Art 114 AEUV) mehr als fragwürdig (vgl EuGH, Rs C 301/06 und EuGH, Rs 317/04).

Abseits dieser hoffentlich nur aus theoretischer Sicht bedeutsamen Überlegungen zu einer Neuauflage der VorratsdatenspeicherungsRL, stellt sich allerdings die weitaus brisantere Frage, ob nunmehr nicht auch die bereits bestehenden nationalen Umsetzungsgesetze zur VorratsdatenspeicherungsRL als unionsrechtswidrig anzusehen sind, weil sie ebenso – zumindest in Teilen – unvereinbar mit Art 7 und 8 GRC sind. Die Gretchenfrage, die sich hierbei stellt ist allerdings nicht, ob die Umsetzungsgesetze einzelne oder gar alle der vom EuGH vergebenen Auflagen erfüllen, sondern vielmehr die vorgelagerte Frage, ob diese Umsetzungsgesetze auch nach der Ungültigkeit der VorratsdatenspeicherungsRL in den Anwendungsbereich des Unionsrechts (isd Art 51 Abs 1 GRC; EuGH, Rs C‑617/10, Åkerberg Fransson sowie zuletzt EuGH, Rs C‑206/13) fallen. Hierbei ist zu berücksichtigen, dass selbst wenn man annimmt, dass mit der der ex-tunc wirkenden Ungültigkeit der VorratsdatenspeicherungsRL auch die Einordnung als Umsetzungsrecht entfällt, die nunmehr ausschließlich national angeordnete Vorratsdatenspeicherung nach wie vor über die Vorgaben in Art 15 Abs 1 Datenschutzrichtlinie für elektronische Kommunikation (iF RL 2002/58)an das Unionsrechts angebunden ist. Die in Art 15 Abs 1a RL 2002/58 vorgesehene Ausnahme für die „ausdrücklich“ durch die VorratsdatenspeicherungsRL vorgeschriebene Vorratsdatenspeicherung ist nunmehr wohl in jedem Fall unbeachtlich. Nach Art 15 Abs 1 RL 2002/58 sind nationale Vorschriften zur Vorratsdatenspeicherung mit dem Ziel der „Ermittlung, Feststellung und Verfolgung von Straftaten“ nämlich nur dann zulässig, wenn sie „den allgemeinen Grundsätzen des Gemeinschaftsrechts einschließlich den in Artikel 6 Absätze 1 und 2 des Vertrags über die Europäische Union niedergelegten Grundsätzen entsprechen.“ Angesichts der hierin zum Ausdruck kommenden Grundrechtsbindung der MS dürfte sich nur schwer bestreiten lassen, dass auch die nationalen Umsetzungsgesetze an den unionsgrundrechtlichen Vorgaben zu messen sind. Entsprechend schlagen die vom EuGH nunmehr herausgearbeitet Vorgaben für die Vorratsdatenspeicherung auch auf die nationalen Umsetzungsgesetze durch. Ob der EuGH den MS hierbei allerdings für jenen Bereich der materiell- und verfahrensrechtlichen Vorgaben für die Datenverarbeitung durch polizeiliche und justizielle Behörden, in dem es bis dato an einem einheitlichen unionalen Datenschutzrecht fehlt (vgl hierzu EuGH, Rs 465/00 und EuGH, Rs 101/01), einen weiteren durch das nationale Datenschutzverständnis gefärbten Spielraum belässt, ist freilich eine andere Frage. Für jene Bereiche der Datenverarbeitung die – gewissermaßen unmittelbar– in den Anwendungsbereich der RL 2002/58 iVm RL 95/46 fallen, ergibt sich für die MS wohl aber in jedem Fall eine grundrechtskonform auszulegende Verpflichtung, die in diesen Richtlinien vorgegebenen Grundsätze (insbes Zweckbindung und Treu und Glauben) auch in Bezug auf die Umsetzungsgesetze einzuhalten. Neben einer allenfalls notwendigen Anpassung der nationalen Vorschriften zur Vorratsdatenspeicherung impliziert dies auch eine grundrechts- bzw richtlinienkonforme Auslegung, die mittelbar auch negative Kollateralfolgen im horizontalen Verhältnis – also für die Telekommunikationsanbieter – haben kann.

Willkommen in der Grundrechtsunion!

Man muss kein Prophet sein, um zu erkennen, dass das vorliegende Urteil ein großer Wurf ist: Denn selbst wenn man dem EuGH an einzelnen Stellen nicht zustimmen mag, gelingt es ihm doch weitgehend schnörkellos die Grundrechtswidrigkeit und damit die Ungültigkeit der VorratsdatenspeicherungsRL zu begründen und gleichsam nebenbei allgemeingültige Vorgaben für die Vorratsdatenspeicherung sowie die Verarbeitung personenbezogener Daten schlechthin zu verankern. Die Vehemenz, mit der der EuGH die Beachtung der Unionsgrundrechte auch und gerade durch den Unionsgesetzgeber einfordert, mag dabei in der Zusammenschau mit dem Urteil in der Rs Volker und Markus Schecke und Eifert als Beleg für einen grundrechtlichen Zeitenwandel gelten: Willkommen in der Grundrechtsunion!

Ein Kommentar zu “Willkommen in der Grundrechtsunion!

  1. Sebastian Leuschner

    Schöner Beitrag. Insbesondere der Hinweis auf das allgemeine europäische Datenschutzrecht ist wichtig. Bevor man den Rechtfertigungsgrund nach Art. 15 der RL 2002/58 diskutiert, müsste man aber erstmal klären, ob diese überhaupt anwendbar ist. In Art. 1 Abs. 3 der RL wird nämlich ihr Anwendungsbereich eingeschränkt, Maßnahmen der öffentlichen Sicherheit sollen hier herausfallen. Gerade das bezwecken aber die mitgliedstaatlichen Umsetzungsgesetze.

    Allerdings gibt es gute Gründe, argumentativ auch über diese Hindernis hinwegzukommen, wenn man den Ausnahmetatbestand als europarechtlichen Begriff eng auslegt. Zum analogen Problem bei der allgemeinen Datenschutzrichtlinie 95/46 habe ich hier kurz Stellung bezogen:

    http://policyreview.info/articles/news/data-retention-directive-out-are-national-laws-next/251

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*