Das Thema „Vorratsdatenspeicherung“ ist ein Dauerbrenner in Rechtsprechung und Klausuren. Am vergangenen Dienstag entschied der EuGH erneut über die Frage, welche Daten aus welchem Anlass gespeichert werden dürfen, bzw. ob auch eine anlasslose Speicherung zulässig sein kann (Urt. v. 20.09.2022, Rs. C-793/19, C-794/19). Im Kern geht es bei der Vorratsdatenspeicherung darum, dass Betreiber öffentlicher Kommunikationsnetze und -dienste verpflichtet werden, bestimmte Daten über ihre Nutzer, durchgeführte Telefonate, versendete Nachrichten und IP-Adressen zu speichern.
I. Der Sachverhalt
Ausgangspunkt des Vorabentscheidungsverfahrens vor dem EuGH war ein Verfahren vor dem VG Köln. Zwei Internetanbieter, von denen einer auch Telefondienste anbietet, klagten gegen die ihnen durch § 113a Abs. 1 TKG iVm. § 113b TKG auferlegte Pflicht, die Verkehrs- und Standortdaten betreffend die Telekommunikation ihrer Kunden auf Vorrat zu speichern.
§ 113a Abs. 1 TKG lautet:
Die Verpflichtungen zur Speicherung von Verkehrsdaten, zur Verwendung der Daten und zur Datensicherheit nach den §§ 113b bis 113g beziehen sich auf Erbringer öffentlich zugänglicher Telekommunikationsdienste für Endnutzer.
§ 113 b TGK lautet:
(1) Die in § 113a Absatz 1 Genannten sind verpflichtet, Daten wie folgt im Inland zu speichern:
1. Daten nach den Absätzen 2 und 3 für zehn Wochen,
2. Standortdaten nach Absatz 4 für vier Wochen.
(2) Die Erbringer öffentlich zugänglicher Telefondienste speichern
1. die Rufnummer oder eine andere Kennung des anrufenden und des angerufenen Anschlusses sowie bei Um- oder Weiterschaltungen jedes weiteren beteiligten Anschlusses,
2. Datum und Uhrzeit von Beginn und Ende der Verbindung unter Angabe der zugrunde liegenden Zeitzone,
3. Angaben zu dem genutzten Dienst, wenn im Rahmen des Telefondienstes unterschiedliche Dienste genutzt werden können,
4. im Fall mobiler Telefondienste ferner
a) die internationale Kennung mobiler Teilnehmer für den anrufenden und den angerufenen Anschluss,
b) die internationale Kennung des anrufenden und des angerufenen Endgerätes,
c) Datum und Uhrzeit der ersten Aktivierung des Dienstes unter Angabe der zugrunde liegenden Zeitzone, wenn Dienste im Voraus bezahlt wurden,
5. im Fall von Internet-Telefondiensten auch die Internetprotokoll-Adressen des anrufenden und des angerufenen Anschlusses und zugewiesene Benutzerkennungen.
Satz 1 gilt entsprechend
1. bei der Übermittlung einer Kurz‑, Multimedia- oder ähnlichen Nachricht; hierbei treten an die Stelle der Angaben nach Satz 1 Nummer 2 die Zeitpunkte der Versendung und des Empfangs der Nachricht;
2. für unbeantwortete oder wegen eines Eingriffs des Netzwerkmanagements erfolglose Anrufe …
(3) Die Erbringer öffentlich zugänglicher Internetzugangsdienste speichern
1. die dem Teilnehmer für eine Internetznutzung zugewiesene Internetprotokoll-Adresse,
2. eine eindeutige Kennung des Anschlusses, über den die Internetnutzung erfolgt, sowie eine zugewiesene Benutzerkennung,
3. Datum und Uhrzeit von Beginn und Ende der Internetnutzung unter der zugewiesenen Internetprotokoll-Adresse unter Angabe der zugrunde liegenden Zeitzone.
(4) Im Fall der Nutzung mobiler Telefondienste sind die Bezeichnungen der Funkzellen zu speichern, die durch den anrufenden und den angerufenen Anschluss bei Beginn der Verbindung genutzt wurden. Bei öffentlich zugänglichen Internetzugangsdiensten ist im Fall der mobilen Nutzung die Bezeichnung der bei Beginn der Internetverbindung genutzten Funkzelle zu speichern. Zusätzlich sind die Daten vorzuhalten, aus denen sich die geografische Lage und die Hauptstrahlrichtungen der die jeweilige Funkzelle versorgenden Funkantennen ergeben.
(5) Der Inhalt der Kommunikation, Daten über aufgerufene Internetseiten und Daten von Diensten der elektronischen Post dürfen auf Grund dieser Vorschrift nicht gespeichert werden.
(6) Daten, die den in § 99 Absatz 2 genannten Verbindungen zugrunde liegen, dürfen auf Grund dieser Vorschrift nicht gespeichert werden. Dies gilt entsprechend für Telefonverbindungen, die von den in § 99 Absatz 2 genannten Stellen ausgehen. § 99 Absatz 2 Satz 2 bis 7 gilt entsprechend.
Das VG Köln gab der Klage statt und entschied, dass die klagenden Unternehmen nicht verpflichtet seien, die genannten Verkehrsdaten in Bezug auf die Telekommunikation der Kunden, denen sie einen Internetzugang zur Verfügung stellten, auf Vorrat zu speichern. Das VG Köln war der im Lichte des Urteils des EuGH vom 21. Dezember 2016, Tele2 Sverige und Watson u. a. (C‑203/15 und C‑698/15, EU:C:2016:970) der Ansicht, dass diese Verpflichtung gegen das Unionsrecht verstoße. Die Bundesrepublik Deutschland legte hiergegen Revision beim BVerwG ein. Das BVerwG legte dem EuGH daraufhin eine in sieben Ziffern untergliederte, detaillierte Vorlagefrage zur Vereinbarkeit der deutschen Regelung mit dem Unionsrecht vor (s. Rn. 39 des Urteils), die nach Ansicht des BVerwG von der Auslegung der Richtlinie 2002/58 (Datenschutzrichtlinie für elektronische Kommunikation) abhängig sei.
Art. 5 der Richtlinie 2002/58 bestimmt:
(1) Die Mitgliedstaaten stellen die Vertraulichkeit der mit öffentlichen Kommunikationsnetzen und öffentlich zugänglichen Kommunikationsdiensten übertragenen Nachrichten und der damit verbundenen Verkehrsdaten durch innerstaatliche Vorschriften sicher. Insbesondere untersagen sie das Mithören, Abhören und Speichern sowie andere Arten des Abfangens oder Überwachens von Nachrichten und der damit verbundenen Verkehrsdaten durch andere Personen als die Nutzer, wenn keine Einwilligung der betroffenen Nutzer vorliegt, es sei denn, dass diese Personen gemäß Artikel 15 Absatz 1 gesetzlich dazu ermächtigt sind. Diese Bestimmung steht – unbeschadet des Grundsatzes der Vertraulichkeit – der für die Weiterleitung einer Nachricht erforderlichen technischen Speicherung nicht entgegen.
(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie [95/46] u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Hiervon lässt Art. 15 der Richtlinie 2002/58 Ausnahmen zu:
Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Rechte und Pflichten gemäß Artikel 5, Artikel 6, Artikel 8 Absätze 1, 2, 3 und 4 sowie Artikel 9 dieser Richtlinie beschränken, sofern eine solche Beschränkung gemäß Artikel 13 Absatz 1 der Richtlinie [95/46] für die nationale Sicherheit (d. h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig ist. Zu diesem Zweck können die Mitgliedstaaten unter anderem durch Rechtsvorschriften vorsehen, dass Daten aus den in diesem Absatz aufgeführten Gründen während einer begrenzten Zeit aufbewahrt werden. Alle in diesem Absatz genannten Maßnahmen müssen den allgemeinen Grundsätzen des Gemeinschaftsrechts einschließlich den in Artikel 6 Absätze 1 und 2 [EUV] niedergelegten Grundsätzen entsprechen.
II. Die Entscheidung
Der EuGH entschied, dass die beanstandeten deutschen Vorschriften gegen das Unionsrecht verstoßen. Schon zuvor hatte er entschieden, „dass die den Betreibern elektronischer Kommunikationsdienste durch nationale Rechtsvorschriften auferlegte Pflicht, Verkehrsdaten auf Vorrat zu speichern, um sie gegebenenfalls den zuständigen nationalen Behörden zugänglich zu machen, Fragen aufwirft, die nicht nur die Einhaltung der Art. 7 und 8 der Charta betreffen, sondern auch die in Art. 11 der Charta gewährleistete Freiheit der Meinungsäußerung, und dass diese Freiheit eine der wesentlichen Grundlagen einer demokratischen und pluralistischen Gesellschaft darstellt, die zu den Werten gehört, auf die sich die Europäische Union nach Art. 2 EUV gründet“ (Rn. 59 mwN). Die Speicherung der genannten Daten einen Eingriff in die Grundrechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten darstelle, Art. 7, 8 GRC. Insoweit sei insbesondere beachtlich, dass die Verkehrs- und Standortdaten Informationen über eine Vielzahl von Aspekten des Privatlebens der Betroffenen enthalten könnten. Dies ermögliche die Erstellung eines Profils der Betroffenen, das im Hinblick auf das Recht auf Achtung des Privatlebens eine ebenso sensible Information darstellt wie der Inhalt der Kommunikation selbst. Die Eingriffswirkung sei umso stärker, je größer die Menge und die Vielfalt der gespeicherten Daten sei.
Dennoch sei eine Beschränkung der in Art. 7, 8, 11 der GRC verbürgten Rechte möglich, wie aus Art. 52 Abs. 1 GRC folge: Die Einschränkung der Ausübung dieser Rechte sei zulässig, wenn sie gesetzlich vorgesehen sind und den Wesensgehalt dieser Rechte achten. Unter Wahrung des Grundsatzes der Verhältnismäßigkeit müssen sie erforderlich sein und dem Gemeinwohl oder den Rechten und Freiheiten anderer tatsächlich entsprechen. Dies komme auch durch Art. 15 Abs. 1 der Richtlinie 2002/58 zum Ausdruck, der im Lichte von Art. 7, 8 und 11 sowie 52 Abs. 1 GRC auszulegen sei. Der EuGH differenziert in seinem Urteil nach der Art der gespeicherten Daten und nach den Zielen, die mit der Speicherung verfolgt werden. Die nationale Sicherheit ist dabei das wichtigste Ziel. Dies vorausgeschickt hat der EuGH dezidierte Vorgaben dazu gemacht, unter welchen Voraussetzungen welche bestimmten Daten in unionsrechtskonformer Weise gespeichert werden dürfen:
Zunächst entschied er, dass nationale Rechtsvorschriften, die präventiv zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen, gegen Art. 15 Abs. 1 der Richtlinie 2002/58 verstoßen.
Demgegenüber stehe er nationalen Rechtsvorschriften nicht entgegen, die
– es zum Schutz der nationalen Sicherheit gestatten, den Betreibern elektronischer Kommunikationsdienste aufzugeben, Verkehrs- und Standortdaten allgemein und unterschiedslos auf Vorrat zu speichern, wenn sich der betreffende Mitgliedstaat einer als real und aktuell oder vorhersehbar einzustufenden ernsten Bedrohung für die nationale Sicherheit gegenübersieht, sofern diese Anordnung Gegenstand einer wirksamen, zur Prüfung des Vorliegens einer solchen Situation sowie der Beachtung der vorzusehenden Bedingungen und Garantien dienenden Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle sein kann, deren Entscheidung bindend ist, und sofern die Anordnung nur für einen auf das absolut Notwendige begrenzten, aber im Fall des Fortbestands der Bedrohung verlängerbaren Zeitraum ergeht;
– zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit auf der Grundlage objektiver und nichtdiskriminierender Kriterien anhand von Kategorien betroffener Personen oder mittels eines geografischen Kriteriums für einen auf das absolut Notwendige begrenzten, aber verlängerbaren Zeitraum eine gezielte Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen;
– zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit für einen auf das absolut Notwendige begrenzten Zeitraum eine allgemeine und unterschiedslose Vorratsspeicherung der IP‑Adressen, die der Quelle einer Verbindung zugewiesen sind, vorsehen;
– zum Schutz der nationalen Sicherheit, zur Bekämpfung der Kriminalität und zum Schutz der öffentlichen Sicherheit eine allgemeine und unterschiedslose Vorratsspeicherung der die Identität der Nutzer elektronischer Kommunikationsmittel betreffenden Daten vorsehen;
– es zur Bekämpfung schwerer Kriminalität und, a fortiori, zum Schutz der nationalen Sicherheit gestatten, den Betreibern elektronischer Kommunikationsdienste mittels einer Entscheidung der zuständigen Behörde, die einer wirksamen gerichtlichen Kontrolle unterliegt, aufzugeben, während eines festgelegten Zeitraums die ihnen zur Verfügung stehenden Verkehrs- und Standortdaten umgehend zu sichern.
III. Einordnung der Entscheidung
Das Thema Vorratsdatenspeicherung begleitet Studierende durch das gesamte Studium, regelmäßig ändert sich die Rechtslage oder es ergehen Urteile der Verwaltungsgerichte oder wie hier des EuGH. Angesichts des unionsrechtlichen Hintergrundes ist das Verhältnis von deutschen zu europäischen Grundrechten von Bedeutung, bzw. die Anwendbarkeit der europäischen Grundrechte zu prüfen. Es ist bekannt, dass nicht das gesamte nationale Recht auf seine Vereinbarkeit mit Grundrechten der Union zu überprüfen ist. Nach Art. 6 Abs. 1 EUV sind die Grundrechte der GRC gleichrangig mit EUV und AEUV, nach Art. 51 Abs. 1 GRC gilt die GRC für die Organe der Union und für die Mitgliedstaaten ausschließlich bei der Durchführung des Rechts der Union. Es bietet sich in hohem Maße an, diese Normen in einer Klausur zu zitieren, um deutlich zu machen, dass man auch im Europarecht „sattelfest“ ist. Nach der Rechtsprechung des EUGH führen die Mitgliedstaaten dann Unionsrecht durch, wenn sie im Anwendungsbereich des Rechts der Union agieren. Die vorliegend beanstandeten Vorschriften fallen in den Anwendungsbereich der RL 2002/58, mithin besteht ein unionsrechtlicher Hintergrund.
Bei der inhaltlichen Prüfung der Verhältnismäßigkeit kann sich an dem Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1 iVm. 2 Abs. 1 GG orientiert werden. Es ist überzeugend, hier Abstufungen nach Anlass und Art der zu erfassenden Daten vorzunehmen. Auch das Ziel der Speicherung ist von entscheidender Bedeutung. Je gewichtiger die verfolgten Ziele sind und je mehr greifbare Anhaltspunkte für eine mögliche Bedrohungslage vorliegen, desto eher wird eine Speicherung auch von Verkehrsdaten möglich sein. Dies äußert sich insbesondere daran, dass auch Veranlassung der zuständigen Behörden Telekommunikationsanbieter anlassbezogen für einen gewissen Zeitraum verpflichtet werden können, umfassend Daten über ihre Kunden und deren Telekommunikation zu speichern. Fraglich ist aber, weshalb der EuGH die Unionsrechtswidrigkeit der deutschen Normen an Art. 15 Abs. 1 der Richtlinie 2002/58 „aufhängt“, der ja gerade Einschränkungsmöglichkeiten des in Art. 5 der Richtlinie 2002/58 verbürgten Vertraulichkeitsgebots enthält. Wenn die Voraussetzungen des Ausnahmetatbestands nicht vorliegen, wird die Verbotsnorm verletzt.
Zusammenfassend handelt es sich um eine prüfungsrelevante Entscheidung, die Anlass bietet, sich mit den prozessualen Grundsätzen des Vorabentscheidungsverfahrens zu befassen und das Verhältnis von deutschen und europäischen Grundrechten zu wiederholen.