EuGH kippt Vorratsdatenspeicherung in Deutschland

Geschrieben von Jan Steinbach, veröffentlicht am 10.10.2022

Mit Urteil vom 20. September hat der Europäische Gerichtshof (EuGH) erneut Stellung zur Unionsrechtskonformität der Vorratsdatenspeicherung bezogen und die deutsche Regelung für unionsrechtswidrig erklärt, die bis dahin in den §§ 113a ff. Telekommunikationsgesetz TKG geregelt war und eine umfassende, z.T. anlasslose Speicherung von Telekommunikationsdaten auf Vorrat vorsah. Er folgt damit im Wesentlichen der ablehnenden Haltung in seinen früheren Entscheidungen. Neu und für die Mitgliedsstaaten von besonderer Relevanz sind jedoch die Maßstäbe, die der EuGH in seinen Entscheidungsgründen nennt und an denen sich zukünftige Regelungen der Vorratsdatenspeicherung orientieren müssen. 

Kurze Geschichte der Vorratsdatenspeicherung 

Bei der Vorratsdatenspeicherung handelt es sich um die Pflicht der Anbieter von Telekommunikationsdiensten (§ 3 Nr. 1 TKG – im Folgenden: Telekommunikationsdienstleister), Verkehrs- und Standortdaten unterschiedslos und allgemein auf Vorrat zu speichern. Zweck der Speicherung ist die Verhütung sowie Ermittlung, Feststellung und Verfolgung von Straftaten, bei denen Telekommunikationsdienste (Telefon, Internet etc.) als Tatmittel eingesetzt werden.  

Auf europäischer Ebene wurde eine entsprechende Maßnahme erstmals in der Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten als Maßstab für die Umsetzung in den Mitgliedsstaaten definiert. Deutschland setze die Vorgaben in einem eigenen Gesetz Anfang 2008 um. In Folge einer der größten Verfassungsbeschwerden der Geschichte des Bundesverfassungsgerichts (BVerfG) wurde die deutsche Regelung in den §§ 113a, 113b Telekommunikationsgesetz (TKG) am 2. März 2010 für unvereinbar mit dem Fernmeldegeheimnis gem. Art. 10 des Grundgesetzes (GG) erklärt. Begründet wurde diese Entscheidung damals vor allem mit den niedrigen Zugriffshürden für staatliche Ermittlungsbehörden und der fehlenden Verpflichtung, die so gespeicherten Daten durch geeignete technische und organisatorische Maßnahmen gegen den unberechtigten Zugriff durch Dritte zu schützen.  

Vier Jahre später, im April 2014, erklärte der EuGH dann seinerseits die Richtlinie 2006/24/EG für unvereinbar mit der Charta der Grundrechte der Europäischen Union (GRCh). Doch anders als das BVerfG bezog sich der EuGH nicht auf das Fernmeldegeheimnis, sondern auf die Achtung des Privat- und Familienlebens gem. Art. 7 sowie auf den Schutz personenbezogener Daten gem. Art. 8 GRCh. Vor deren Hintergrund der Schwere des Eingriffs und „angesichts der besonderen Bedeutung des Schutzes personenbezogener Daten für das Grundrecht auf Achtung des Privatlebens“, sei die Richtlinie nicht verhältnismäßig. 

Hintergrund der aktuellen Entscheidung 

Im Oktober 2015 verabschiedete Deutschland ein neues Gesetz zur Vorratsdatenspeicherung, das im Wesentlichen in den §§ 113a bis 113e TKG festgehalten wurde und die von BVerfG festgellten Mängel beseitigen sollte. Dieses sah ebenfalls umfangreiche Speicherfristen von vier bis 10 Wochen für die Erbringer öffentlich zugänglicher Telekommunikationsdienste vor. Hierunter vielen unter anderem die Rufnummern der beteiligten Anschlüsse sowie Datum und Uhrzeit von Beginn und Ende der Verbindung. Internetdienste sollten darüber hinaus Benutzer- und Anschlusskennungen sowie die Internet-Protokolladresse (IP-Adresse) speichern. Im Sinne der Entscheidung des BVerfG wurden dabei vor allem umfangreiche Pflichten zur Art der Speicherung übernommen. Hierzu wurden diverse technische und organisatorische Maßnahmen zur Datensicherheit in § 113d TKG festgehalten, die durch die Telekommunikationsdienstleister für die Dauer der Speicherung beachtet werden sollten. 

Nachdem die einstweilige Anordnung zur Aussetzung des neuen Gesetzes vor dem BVerfG mangels substantiierter Darlegung der überwiegenden Interessen an der Aussetzung des Gesetzes gescheitert war, wendeten sich zwei Telekommunikationsdienstleister (darunter die Telekom Deutschland GmbH) an das Oberverwaltungsgericht des Landes Nordrhein-Westfalen. Die Dienstleister begehrten dabei die Aufhebung der umfangreichen Speicherpflichten der Daten Ihrer Kunden Dieses stellte mit Blick auf eine weitere Entscheidung des EuGH fest, dass die neue deutsche Regelung neuerlich gegen Unionsrecht verstößt. So hatte der EuGH in der Zwischenzeit festgestellt, dass eine allgemeine und unterschiedslose Speicherung auf Vorrat nicht zu rechtfertigen sei, da kein sachlicher Zusammenhang zwischen der invasiven Maßnahme der Speicherung und einer tatsächlichen Bedrohung für die öffentliche Sicherheit besteht. Dies wurde so ausgelegt, dass eine anlasslose Speicherung von Daten per se unionsrechtswidrig sei. Schließlich hielt das Bundesverwaltungsgericht (BVerwG) im Rahmen einer Sprungrevision die Frage nicht für abschließend geklärt und legte den Fall zur Vorabentscheidung dem EuGH vor. Mit Urteil vom 20. September dieses Jahres bekräftige der Gerichtshof seine Position zur Vorratsdatenspeicherung in einer dritten Entscheidung; zeigte aber auch Wege, wie die Mitgliedsstaaten eine unionsrechtskonforme Regelung treffen könnten.  

Inhalt der Entscheidung 

Gegenstand der Entscheidung war die Vereinbarkeit der deutschen Regelung zur Vorratsdatenspeicherung (§§ 113a ff. TKG) mit Art. 15 Abs. 1 der Richtlinie 2002/58 (Schutz der Privatsphäre in der elektronischen Kommunikation), der es den Mitgliedstaaten grundsätzlich erlaubt aus Gründen der nationalen Sicherheit Telekommunikationsdaten für eine begrenzte Zeit aufzubewahren, wenn der Umfang der Regelung auf das zwingend erforderliche Ausmaß begrenzt wird und verhältnismäßig ist.  

Hierzu stellte der EuGH aber fest, dass die Richtlinie „nationalen Rechtsvorschriften entgegensteht, die präventiv zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen“. Mangels hinreichender Differenzierung fällt hierunter auch die deutsche Regelung, sodass der EuGH sie für unvereinbar mit dem Unionsrecht erklärte. Damit ist die Speicherung von Telekommunikationsdaten auf Vorrat seit dem 20. September nicht mehr zulässig. 

Im zweiten Teil seiner Entscheidung, legte der EuGH jedoch wegweisende Kriterien für eine unionsrechtskonforme Ausgestaltung der Vorratsdatenspeicherung fest, an denen sich die Mitgliedstaaten orientieren können. Danach soll eine allgemeine und unterschiedslose Speicherpflicht der Betreiber möglich sein, 

  • „wenn sich der betreffende Mitgliedstaat einer als real und aktuell oder vorhersehbar einzustufenden ernsten Bedrohung für die nationale Sicherheit gegenübersieht“ und die Anordnung im Vorhinein von einem Gericht oder einer anderen unabhängigen Stelle kontrolliert werden,  
  • „zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit“, sofern es sich um die IP-Adresse oder die Identität der Nutzer elektronischer Kommunikationsmittel handelt 

Eine allgemeine und unterschiedslose Speicherung von Verkehrs- und Standortdaten zur Bekämpfung schwerer Kriminalität ist damit ausgeschlossen. Hier darf lediglich eine gezielte Speicherung erfolgen, die sich inhaltlich an nichtdiskriminierende z.B. geografische Kriterien orientieren soll.  

Dabei müssen alle Maßnahmen zeitlich auf das absolut Notwendige begrenzt werden. 

Analyse der Entscheidung 

Die Bedeutsamkeit der Entscheidung des EuGH liegt in der Spezifizierung genauer Differenzierungskriterien. Diese betreffen einerseits den Tatbestand, also die Frage, wann und unter welchen Bedingungen Daten auf Vorrat gespeichert werden dürfen. Hierbei werden zwei Bedrohungsstufen unterschieden: (1. Fall) eine reale und aktuelle oder vorhersehbare Bedrohung der nationalen Sicherheit (2. Fall) Bekämpfung schwerer Kriminalität. Diesen Unterschied führt der EuGH folgendermaßen aus: „Im Unterschied zur Kriminalität – auch besonders schwerer Kriminalität – muss eine Bedrohung für die nationale Sicherheit [also der 1. Fall] real und aktuell, zumindest aber vorhersehbar sein, was das Eintreten hinreichend konkreter Umstände voraussetzt, um eine Maßnahme allgemeiner, unterschiedsloser und ortsunabhängiger, also einer bundesweiten Vorratsspeicherung von Verkehrs- und Standortdaten für einen begrenzten Zeitraum rechtfertigen zu können. Eine solche Bedrohung unterscheidet sich somit ihrer Art, ihrer Schwere und der Besonderheit der sie begründenden Umstände nach von der allgemeinen und ständigen Gefahr, dass – auch schwere – Spannungen oder Störungen der öffentlichen Sicherheit auftreten, oder schwerer Straftaten.“.   

Zur Bekämpfung schwerer Kriminalität (2. Fall) dürfen solche Daten nur noch gespeichert werden, wenn objektive Verdachtsmomente hinzutreten. „Dabei kann es sich insbesondere um Orte handeln, die durch eine erhöhte Zahl schwerer Straftaten gekennzeichnet sind, um Orte, an denen die Gefahr, dass schwere Straftaten begangen werden, besonders hoch ist, wie Orte oder Infrastrukturen, die regelmäßig von einer sehr hohen Zahl von Personen aufgesucht werden, oder um strategische Orte wie Flughäfen, Seehäfen, Bahnhöfe oder Mautstellen“.  

Auch auf der Rechtsfolgenseite, also der Frage nach dem Umgang der Speicherung, differenziert der EuGH nach Art der Daten. Insbesondere soll eine Vorratsdatenspeicherung der IP-Adressen einfacher möglich sein als eine Speicherung von Verkehrs- und Standortdaten.  

Deutung der Unterscheidungsmerkmale 

Anders als im vorwiegend moralisch geführten Diskurs in Deutschland, hat sich der EuGH in seinen Unterscheidungskriterien an sachlichen und v.a. justitiablen Merkmalen orientiert. Während deutsche Politiker, die eine Vorratsdatenspeicherung befürworten, oft emotionalisierend die Bekämpfung der Kinderpornographie instrumentalisieren, um die allgemeine und unterschiedslose Vorratsdatenspeicherung (scheinbar) zu legitimieren, ermöglichen die Kriterien des EuGH eine rechtstaatlich saubere Lösung zwischen anlassloser Totalüberwachung und Handlungsunfähigkeit der Ermittlungsbehörden.  

Insbesondere die Unterscheidung zwischen nationaler Sicherheit und Kriminalität zeigt klar die Grenzen des rechtstaatlich Erlaubten bei der Verfolgung von (Internet)Kriminalität: Eine undifferenzierte Speicherung von Verkehrs- und Standortdaten jeder stattfindenden Telekommunikation zum Zweck der Kriminalitätsbekämpfung ist somit nicht erlaubt. Nur eine ernste und konkrete Bedrohung der nationalen Sicherheit, kann – ähnlich dem Ausnahmeverfassungsrecht – eine zeitlich begrenzte Totalüberwachung rechtfertigen. Dieser Ausnahmecharakter wird auch in der oben genannten Aussage des EuGH unterstrichen, wenn betont wird, dass nur eine über das gewöhnliche Ausmaß schwerer Straftaten hinausgehende Situation, die Anordnung einer undifferenzierten Vorratsspeicherung von Verkehrs- und Kommunikationsdaten rechtfertigen kann (vgl. zur Normalität des Verbrechens: Durkheim, Die Regeln der soziologischen Methode). 

 Die Grenzen staatlichen Strafens, die vor allem in der Diskussion um die Legitimität eines sog. Feindesstrafrecht aufgeweicht wurden, werden durch das Unterscheidungsmerkmal des EuGH, zumindest für die Maßnahmen der Strafverfolgung wieder gefestigt. Der strafprozessualen Wahrheitsfindung im Rechtsstaat sind absolute Grenzen gesetzt.  

Das Unterscheidungskriterium ist (leider) auch von einem politischen Standpunkt aus hellsichtig. So ist spätestens mit dem Angriffskrieg auf die Ukraine im Februar dieses Jahres eine voraussichtliche Bedrohung der nationalen Sicherheit nicht mehr fernliegend; ein Umstand, der die Entscheidung des EuGH möglicherweise beeinflusst hat. Es ist daher zu befürchten, dass eine entsprechende Umsetzung durch den nationalen Gesetzgeber in der Sache nicht leerlaufen wird. 

Ausblick 

Unmittelbar nach der Entscheidung des EuGH forderten die Innenminister der Länder eine gesetzliche Regelung zur Speicherung von IP-Adressen. Diese Möglichkeit habe der EuGH ausdrücklich zugestanden. Leider zeigt sich in dem neu entfachten Diskurs über die Möglichkeiten und Grenzen einer Vorratsdatenspeicherung unter den Innenministern nur wieder dasselbe Lied von der Bekämpfung der Kinderpornografie. Dabei hat es nicht den Anschein, als habe man den Kern der Entscheidung des EuGH verstanden.  

Das Urteil des Gerichtshofs selbst aber wird dem lateinischen Rechtsspruch Bene judicat, qui distinguit (Gut richtet, wer gut unterscheidet) gerecht und lässt für die Zukunft auf eine rechtsstaatliche Regelung zur Vorratsdatenspeicherung zumindest hoffen. Dass dies nicht nur im Sinne des Grundrechtsschutz, sondern auch der Verfolgungsbehörden ist, betonte Oberstaatsanwalt Dr. Krause, stellvertretender Leiter der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT), im Gespräch mit der F.A.Z.. Ihm zufolge besteht ein starkes Bedürfnis nach Rechtsklarheit auf Seiten der Ermittlungsbehörden, die genau wissen müssen, welche Ermittlungsmethoden erlaubt sind. Diesem Bedürfnis könnte der deutsche Gesetzgeber nachkommen, indem er die Vorgaben des EuGH durch ein neues Gesetz zur Vorratsdatenspeicherung umsetzt.