Am 8.4.2014 erklärte der Europäische Gerichtshof die Richtlinie zur Vorratsdatenspeicherung für unvereinbar mit den europäischen Grundrechten und damit für komplett ungültig (U.v. 8.4.2014 – verb. Rs. C-293/12 und C-594/12 – Digital Rights Ireland und Seitlinger u.a.). Das Gericht erklärte die Richtlinie komplett für ungültig und ist damit noch über den Antrag des Generalanwalts hinausgegangen. Ein gutes Urteil für die Rechte der Bürgerinnen und Bürger in Europa, das in dieser Deutlichkeit nicht zu erwarten war.

Im Kern ging es in der nun kassierten Richtlinie darum, anlasslos, also ohne konkreten Verdacht, flächendeckend Kommunikationsdaten mindestens 6 Monate, max. 2 Jahre zu speichern. Zwar wird dabei nicht auf die Inhalte zugegriffen, aber die Speicherung von Beginn, Ende, Dauer, Sender und Empfänger erlaubt es das Kommunikationsverhalten eines Jeden zu analysieren und so ein komplettes Bewegungsprofil zu erstellen.
Ist das nun wirklich das Ende der Vorratsdatenspeicherung oder wird es neue Anläufe für eine gesetzliche Verankerung auf europäischer oder nationaler Ebene geben? Ist eine grundrechtskonforme Regelung nach dem EuGH-Urteil überhaupt möglich?
Das Gericht hatte bei dieser Prüfung, ob die Richtlinie mit den europäischen Grundrechten vereinbar ist, drei Dinge zu prüfen: die Geeignetheit, die Erforderlichkeit und die Angemessenheit.

Um zu verdeutlichen, um was es dabei im Kern geht, eignet sich der Vergleich mit den Kanonen, die auf Spatzen schießen. Eine Kanonenkugel ist tatsächlich geeignet, den Spatz zu töten, aber ganz offensichtliche nicht erforderlich, denn es ist die Frage zu stellen, wen stört der Spatz. Und auch bei der Frage, ob die Maßnahme angemessen ist, kann man erhebliche Zweifel haben, denn wenn der Spatz stört, gibt es kein milderes Mittel ihn loszuwerden? Vermutlich wird mit der Kanonenkugel nicht nur der Spatz getötet, sondern er dürfte eine Reihe von sogenannten Kollateralschäden geben.
Zwar kommt das Gericht zu dem Ergebnis, dass die Vorratsdatenspeicherung ein geeignetes Mittel zur Verhütung und Verfolgung schwerer Straftaten darstellt und damit in ihrer Zielsetzung dem Gemeinwohl dient. Nach dem Urteil des Gerichts reicht aber „nice to have“ nicht aus. Es verbietet die (Wieder-)Einführung der Vorratsdatenspeicherung wegen der angenommenen Geeignetheit also nicht per se, stellt aber Anforderungen auf, die berechtigte Zweifel aufkommen lassen, ob eine europäische oder nationale Regelung im Einklang mit den Vorgaben des EuGH überhaupt gelingen kann. Schon gegen die Feststellung, dass Vorratsdatenspeicherung ein geeignetes Mittel ist, schwere Straftaten zu verfolgen oder gar zu verhindern, kann eingewendet werden, dass auch die Befürworter keinen Belege in Form von Studien und Analysen vorbringen können, dass eine Vorratsdatenspeicherung die Aufklärung oder Verhinderung von schweren Straftaten spürbar erleichtern. Die Geeignetheit wird bislang lediglich behauptet.

Auch wenn der EuGH die Geeignetheit nicht grundsätzlich bestreitet, so handelt es sich nach seiner Auffassung bei der Richtlinien dennoch um einen Eingriff „von großem Ausmaß“, der „besonders schwerwiegend“ sei und geeignet, ein Gefühl ständiger Überwachung hervorzurufen. Der Eingriff in das Recht auf Achtung des Privatlebens, der durch die Einschränkungen des Schutzes personenbezogener Daten bewirkt werde, müsse auf das „absolut Notwendige“ beschränkt werden. Es bedürfe daher klarer, präziser Regeln für die Tragweite und Anwendung der Maßnahme und Mindestanforderungen zum Schutz der personenbezogenen Daten der Betroffenen vor unberechtigtem Zugang und unberechtigter Nutzung. Daran fehle es in der RL:

• Es ist kein Richtervorbehalt oder eine sonstige unabhängige Vorabkontrolle des Datenzugangs vorgesehen
• Das Fehlen einer Definition des Begriffs „schwere Straftat“ sei inakzeptabel – damit bleibe zu unbestimmt, ab wann in grundrechtlich geschützte Rechtspositionen eingegriffen wird
• Die „zugangsberechtigte Behörden“ müssen exakter benannt und beschränkt werden – damit bleibe sonst zu unbestimmt, wie tief eine Grundrechtsverletzung sich fortsetzen könne
• Die Möglichkeit der Ausnahme von der Speicherungspflicht (Verweis Berufsgeheimnisträger) fehle
• Die Löschungspflicht der abrufenden Stelle bei Wegfall des Verwendungszwecks
• Eine (zumindest nachträgliche) Benachrichtigungspflicht an den Betroffenen fehle
• Schließlich gehe das Ausmaß der Anlasslosigkeit viel zu weit: Weder werde verlangt, dass das Verhalten der Betroffenen in irgendeinem „auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten“ stehe, noch müssten die Daten selbst in einem Zusammenhang mit einer Bedrohung der öffentlichen Sicherheit stehen.

Mit Blick auf die Verhältnismäßigkeit bzw. Angemessenheit der Richtlinie ging es dem Gericht vor allem um die Untersuchung der Speicherdauer. Während der Generalanwalt die Speicherhöchstdauer noch zu lang war und er für maximal ein statt zwei Jahre plädierte, kommt es dem EuGH nicht auf eine starre Obergrenze an. Ihm fehlt eine klare Unterscheidung von Datenkategorien im Hinblick auf den Nutzen für das verfolgte Ziel. Speicherhöchstdauern sind demnach eher dynamisch zu formulieren je nach Kategorisierung.
Auch hinsichtlich der Datensicherheit meldet das Gericht erhebliche Zweifel an. Art. 7 der Richtlinie sehe keine speziellen Regeln zum Schutz der Daten vor Missbrauch, unberechtigtem Zugang oder unberechtigter Nutzung vor, was das Gericht aber als unabdingbar betrachtet. Es kritisiert außerdem, dass die Vernichtung der Daten nach Speicherungsdauer nicht vorgeschrieben sei. Zudem sei nicht gewährleistet, dass die Einhaltung der Datenschutz- und Datensicherheitserfordernisse durch eine unabhängige Stelle überwacht werde. Die Richtlinie verlange beispielsweise nicht, dass die Vorratsdaten auf Unionsgebiet gespeichert werden. Dies sei aber mit Blick auf Artikel 8 der Grundrechtecharta (Vorkehrungen zum Umgang mit sensiblen Daten von EU-Bürgern) notwendig.

Schlussfolgerung: Die Grundrechte des Art. 7 (Achtung des Privatlebens) und des Art. 8 (Schutz pers.-bez. Daten) der Grundrechtecharta wertet der EuGH als unabdingbar und staatlich zu schützen. Die anlasslose Vorratsdatenspeicherung stellt einen Eingriff in das Recht auf Achtung des Privatlebens und die Einschränkungen des Schutzes personenbezogener Daten „von großem Ausmaß“ dar, der „besonders schwerwiegend“ und geeignet sei, ein Gefühl ständiger Überwachung hervorzurufen.
Anders als das Bundesverfassungsgericht es in seinem Urteil zur Vorratsdatenspeicherung getan hat, nimmt der EuGH den Gesetzgeber nicht an die Hand, um ihm zu zeigen, was er tun muss, um eine grundrechtskonforme Vorratsdatenspeicherung zu realisieren. Es erscheint naheliegend, dies so zu verstehen, dass sich das Gericht eine anlasslose Vorratsdatenspeicherung kaum grundrechtskonform vorstellen kann. Dieses Verständnis wird durch die Argumentation zur Datenkategorisierung verstärkt: Zum Zeitpunkt der Erfassung, spätestens aber bei der Speicherung der Daten müsste der konkrete Zweck der Speicherung feststehen. Wie aber bereits in diesem Zeitpunkt sichergestellt werden soll, dass nur solche Daten bzw. Daten von solchen Personen erfasst werden, die einen Bezug zu einer schweren Straftat aufweisen, ist bei einer anlasslosen Speicherung auf Vorrat kaum vorstellbar.
Will man alle Kriterien erfüllen, deren Fehlen der EuGH kritisiert hat, ist man eher bei einer (richterlichen) Einzelfallentscheidung – die aber ist schon heute nach geltendem Recht möglich.

Also: Finger weg von neuen Anläufen zur Vorratsdatenspeicherung – national und europäisch!!

Zu den „Acht Mythen zur Vorratsdatenspeicherung“ verweise ich auf einen sehr guten Artikel von Thomas Stadler, Fachanwalt für IT-Recht und gewerblichen Rechtschutz in seinem Blog „Internet-Law“ – hier der Link: http://www.internet-law.de/2014/04/acht-mythen-zur-vorratsdatenspeicherung.html