Unionsrechtswidrigkeit einer uneingeschränkten Vorratsdatenspeicherung
Aslihan Sari, Universität Hamburg

Deutschland als Totalüberwachungsstaat? Am meisten hört und liest man von der Demokratie gefährdenden Totalüberwachung aus undemokratischen Ländern. Aber was bedeutet der Begriff der Totalüberwachung eigentlich und was könnte der Anlass sein, diese mit der Bundesrepublik Deutschland in Verbindung zu bringen? Totalüberwachung liegt vor, wenn die staatliche Überwachung so tief und weit reicht, dass sie charakteristisches Kernelement eines Staates ist. Ob die Vorratsdatenspeicherung bereits als Totalüberwachung zu beschreiben ist, ist für sich schon Gegenstand politischer Auseinandersetzungen. Manche meinen, dass die Daten im Zuge der Diestleistungsbereitstellung durch die Telekommunikationsunternehmen sowieso für die spätere Rechnungserhebung etc. gespeichert werden. Allein der Umstand, dass diese Speicherungsdauer verlängert wird, begründe nicht die Annahme der Totalüberwachung. Genau an diesem Punkt setzen die Kritiker der Vorratsdatenspeicherung an und tragen vor, dass nicht nur die längere Speicherungsdauer an sich, sondern eine Kumulation von Kriterien die Annahme der Totalüberwachung begründet. Zu diesen Kriterien gehört, dass das unterstützte Datenpooling die Missbrauchsgefahr erhöht und, dass das anlasslose Bereithalten der Metadaten über einen längeren Zeitraum, ein Eingriff in die Grundrechte nahezu aller Nutzer verkörpert. Daneben könne dem Grundsatz der Datenvermeidung nicht entsprochen werden.

Der EuGH hat jüngst ein Urteil[1] über die Umsetzungsnormen der Vorratsdatenspeicherungsrichtlinie in England und Schweden gefällt, welches ebenso gut bezüglich der Normen in Deutschland hätte gefällt werden können. Auch in Deutschland wird trotz der neuen Fassung in §§ 113 a, 113 b TKG eine anlasslose Speicherung von Verkehrs- und Standortsdaten vorgesehen. Der Beitrag zeigt nach einer kurzen Entwicklungsdarstellung bezüglich der Vorratsdatenspeicherung in Deutschland die Argumente des EuGH aus dem Urteil vom 21.12.2016 auf.

Die Etappen im Kampf um die Vorratsdatenspeicherung

Die Europäische Union hat 2006 die Vorratsdatenspeicherungsrichtlinie (Richtlinie 2006/24/EG), mit welcher alle Mitgliedstaaten zu einer Vorratsdatenspeicherung verpflichtet wurden, erlassen. Begründet wird die Richtlinie mit dem Ziel der Harmonisierung des Binnenmarkes und dem Argument, dass anderenfalls grenzüberschreitende Telekommunikationsanbieter, wegen unterschiedlicher Bedingungen, in ihrer Dienstleistungsfreiheit erheblich beeinträchtigt werden würden. In den vergangenen Jahren haben vor allem die elektronische Kommunikation und das Internet an Bedeutung gewonnen. Die Verlagerung der Kommunikation ins Internet hat zur Folge, dass mangels Klarnamen das Zurückverfolgen der Nutzer über die ihnen zugeordnete IP-Adresse erfolgen muss. Aus dem Grund, dass dynamische und gelöschte IP-Adressen nicht zurückverfolgt werden können, stoßen die Behörden bei strafrechtlichen Ermittlungen im Internet an ihre Grenzen. Um diese Problematik zu beheben und das Leben der potentiellen Opfer vor organisierter Kriminalität und Terrorismus zu schützen, wurde die Vorratsdatenspeicherungsrichtlinie 2006 erlassen.

Der erste Anlauf zur Umsetzung der Richtlinie wurde in der alten Fassung der §§ 113 a, 113 b TKG i.V.m. § 100 g StPO unternommen. Diesbezüglich stellte des BVerfG in seinem Urteil vom 02.03.2010[2] jedoch fest, dass sie in ihrer konkreten Ausgestaltung gegen das in Art. 10 I GG verankerte Telekommunikationsgeheimnis verstoße und aus diesem Grund verfassungswidrig sei.

Die alte Fassung der §§ 113 a, 113 b TKG i.V.m. § 100 g StPO sah die uneingeschränkte und anlasslose Speicherung von Verkehrs- und Standortdaten, auch „Metadaten“, sowie deren Übermittlung an staatliche Stellen zum Zwecke der Strafverfolgung vor. Art. 10 I GG schützt die Freiheit und Unverletzlichkeit der auf Vermittlungstechniken angewiesenen Individualkommunikation. Der Schutzbereich ist so weitreichend, dass nicht nur ein Schutz vor staatlicher Kenntnisnahme der Nachrichten und die sich daran anschließenden Datenverarbeitungsprozesse gewährt wird, sondern auch der Übermittlungsvorgang der Nachrichten geschützt ist.[3] Ebenfalls problematisch an der alten Fassung war, dass das im Volkszählungsurteil[4] entstandene Verbot der Speicherung „von personenbezogenen Daten auf Vorrat zu unbestimmten und noch nicht bestimmbaren Zwecken“ des BVerfG weitläufig unbeachtet blieb. Somit konnte dem Grundrecht der informationellen Selbstbestimmung, welches den Grundsatz der Zweckfestlegung inkludiert, nicht entsprochen werden. Das BVerfG hat diese Ansicht jedoch nicht geteilt. Eine „vorsorgliche anlasslose Speicherung, für eine spätere anlassbezogene Übermittlung“ würde den Grundsätzen des Volkszählungsurteils nicht zuwiderlaufen. Vielmehr wurde vom BVerfG der Verstoß gegen den Bestimmtheitsgrundsatz als ausschlaggebendes Kriterium für die Verfassungswidrigkeit hervorgehoben. Die Regelungen waren so hinreichend unbestimmt, dass es für den Bürger eine Zumutung war, den Tatbestand und die zugehörige Rechtsfolge erkennen zu können. Zudem ist die Eingriffsintensität ein Indikator für die Anforderungen an die Bestimmtheit des Gesetzes: Je tiefgreifender die Eingriffsintensität, desto bestimmter muss der dazugehörige Gesetzeswortlaut sein. Die Voraussetzungen „zur Verfolgung einer Straftat“ und „zur Erfüllung geheimdienstlicher Aufgaben“ sind nur zwei Beispiele aus dem Gesetzeswortlaut, in denen sich die weitreichenden Auslegungsmöglichkeiten widerspiegeln. Auch in einer vermeintlichen Abwägung der widerstreitenden Interessen, namentlich die Aspekte der öffentlichen Sicherheit auf der einen Seite und die Gewichtung der unbefangenen Individualkommunikation und des Telekommunikationsgeheimnisses auf der anderen Seite, scheiterte der Vorzug der öffentlichen Sicherheit an der Angemessenheit. Aus den oben genannten Gründen erklärte und begründete das BVerfG die alte Fassung der §§ 113 a, 113 b TKG i.V.m. § 100 g StPO damit als verfassungswidrig.

Auch der EuGH nahm im Urteil vom 08.04.2014 Stellung, indem er die Richtlinie über die Vorratsdatenspeicherung wegen Verstoßes gegen Art. 7, 8 und 11 GRCh für ungültig erklärte.[5] Zur Begründung führte der EuGH an, dass im Wege der in Art. 3 und 5 der Richtlinie hervortretenden Regelungen über den Umfang der zu speichernden Daten genaue Rückschlüsse auf das Privatleben der Personen, dessen Daten gespeichert werden, gezogen werden können. Nicht nur etwa über die  vorübergehenden Aufenthaltsorte, sondern auch über den Ablauf ihres täglichen Lebens und ihre sozialen Kontakte kann man sich ein Bild machen. Die Meinungsäußerungsfreiheit der Kommunikationsmittelnutzer aus Art. 11 GRCh könne bereits durch die Speicherung von Metadaten beeinträchtigt sein. Ebenso betont der EuGH dieselben Mängel wie das BVerfG in seinem Urteil vom 2.3.2010 bezüglich der Umsetzungsnormen. Unter anderem wird die Problematik eines nicht begrenzten und begrenzbaren Personenkreises hervorgehoben, welche zur Folge hat, dass nahezu jeder Unionsbürger in seinen Unionsgrundrechten aus Art. 7, 8 und 11 GRCh betroffen ist. Weiterhin fehle es an objektiven Kriterien der Speicherung und einem Zusammenhang zwischen den auf Vorrat gespeicherten Daten und dem Ziel der Strafverfolgung. Auch seien weder Verfahrensvoraussetzungen noch eine ex ante oder ex post gerichtliche bzw. durch eine unabhängige Instanz erfolgende Überprüfung ersichtlich. Aufgrund genau dieser Unvereinbarkeiten mit den unionsrechtlich gesicherten Grundrechten wurde die Richtlinie der Vorratsdatenspeicherung für ungültig erklärt.

Trotz zahlreicher Streitigkeiten bezüglich des Einflusses der Ungültigkeitserklärung auf die Mitgliedstaaten erließ die Bundesrepublik Ende 2015 eine Neuregelung der Vorratsdatenspeicherung, §§ 113 a, 113 b TKG. Als daraufhin unmittelbar eine Vielzahl von Anträgen auf Erlass einer einstweiligen Verfügung mit dem Ziel der Nichtigkeitserklärung der Regelungen beim BVerfG einging, lehnte dieses die Anträge ab, ohne jedoch Stellung zur Verfassungsmäßigkeit der Vorschriften zu beziehen.[6]

Urteil vom 21.12.2016

Wie sich der EuGH bezüglich der deutschen Neuregelungen zur Vorratsdatenspeicherung entscheiden wird, ist noch unklar. Hinweise ergeben sich jedoch aus dem Urteil vom 21.12.2016, in welchem über zwei Vorabentscheidungsersuche des Schwedischen Oberverwaltungsgerichts sowie des Britischen Court of Appeal entschieden wurde.

Bis dahin wurden die Vorratsdaten in Schweden für sechs und im Vereinigten Königreich für maximal zwölf Monate gespeichert. § 113 b I TKG hingegen sieht eine Speicherungsdauer von maximal vier bis zehn Wochen vor. Ein weiterer Unterschied besteht darin, dass der Data Retention and Investigatory Powers Act, in welcher die Vorratsdatenspeicherung für das Vereinigte Königreich geregelt ist, keine Spezifizierung entnommen werden kann, welche Daten konkret gespeichert werden sollen und welche nicht, wo dagegen in Deutschland ein Katalog hinsichtlich der zu speichernden Inhalte in § 113 b TKG normiert ist. Die wesentliche Gemeinsamkeit aller drei Länder liegt im Telos und dem zweistufigem Aufbau der Vorratsdatenspeicherung. Dieser setzt sich aus der anlasslosen Speicherung und der anlassbezogenen Verarbeitung durch die zuständigen Behörden zusammen.

In dem Urteil wurden drei wesentliche Fragen beantwortet.

1. Zunächst wurde die Frage der Vereinbarkeit der Umsetzungsgesetze mit Art. 15 I der Datenschutzrichtlinie für elektronische Kommunikation geklärt. Hierfür musste aber vorher analysiert werden, ob Umsetzungsgesetze überhaupt in den Anwendungsbereich des Unionsrechts fallen.

Art. 51 I S. 1 der GRCh sieht vor, dass die Charta in erster Linie für Unionsorgane und Einrichtungen gilt. Für Mitgliedstaaten soll ihre Anwendbarkeit auf die Durchführung von Unionsrecht begrenzt sein. Dies meint die Fälle, in denen die materielle Rechtslage durch Sekundärrecht geregelt ist und lediglich der Vollzug dessen dem nationalen Recht der einzelnen Mitgliedstaaten gebührt.

In seinem Urteil hat der EuGH jedoch keinen Bezug auf die obige Norm genommen. Diese Vorgehensweise könnte seine Begründung in der Nichtigkeitserklärung der Vorratsdatenspeicherung auf Sekundärrechtsebene finden. Zum Teil, u.a. durch das BVerfG, wird vertreten, dass durch die Nichtigkeitserklärung vom 8.4.2014 die Anknüpfungspunkte für eine vermeintliche „Durchführung von Unionsrecht“ entfallen sind. Der EuGH sieht hingegen einen Anknüpfungspunkt für die Durchführung in Art. 15 I S. 3 der E-Privacy-Richtlinie. Diese verkörpert eine Ergänzung zu der ursprünglichen Datenschutzrichtlinie und hat ihren Zweck in der gleichwertigen Gewährleistung der Grundrechte und -freiheiten unionsweit. Sie stellt also eine weitere Maßnahme der Harmonisierung dar. Gegen die Heranziehung der E-Privacy-Richtlinie wird seitens kritischer Stimmen beleuchtet, dass diese viel weiter und genereller formuliert ist als die für nichtig erklärte Vorratsdatenspeicherungsrichtlinie, welche bereits den europäischen Anforderungen nicht genügte. Der EuGH hingegen lässt diese Kritik zunächst unberücksichtigt und bleibt seinen in der Akerberg-Fransson Rechtsprechung verankerten Maßstäben treu. In dieser Rechtsprechung stellt der EuGH fest, dass Art. 51 der GRCh weit auszulegen ist. Demnach seien auch Regelungen erfasst, die nicht der reinen Umsetzung von Richtlinien dienen, aber einen Verstoß gegen diese sanktionieren.[7] Erforderlich ist jedoch ein hinreichender Zusammenhang zwischen den nationalen Umsetzungsgesetzen und den „durchgeführten“ Richtlinien. Dafür hat der EuGH als Indizien u.a. den Telos und Charakter der Regelung festgelegt. Obwohl die E-Privacy-Richtlinie primär dem Datenschutz dient und keine ausdrücklichen Regelungen zur Vorratsdatenspeicherung enthält, ist sie aufgrund der weiten Auslegung trotzdem als Prüfungsmaßstab einschlägig.

Zur Vereinbarkeit der Umsetzungsgesetze mit der Datenschutzrichtlinie für elektronische Kommunikation hat der EuGH hingegen aufgeführt, dass durch Auslegung dieser sich die Anwendbarkeit des Unionsrechts auch in den Fällen ergibt, in denen es den Mitgliedstaaten gestattet ist, nationale Regelungen zu treffen. Anderenfalls würde die Richtlinie hinsichtlich ihrer praktischen Relevanz zu unterlaufen drohen.

Art. 15 I der Datenschutzrichtlinie für elektronische Kommunikation verbietet eine automatisierte Verarbeitung von Daten „zum Zwecke der Bewertung einzelner Aspekte“ der Personen. Durch den Regelungsgehalt und der vom EuGH festgestellten Anwendbarkeit ergeben sich Probleme hinsichtlich der Vorratsdatenspeicherung. Diese erfolgt auch automatisch. Ob bereits die automatische Speicherung vom Begriff der Verarbeitung gedeckt ist, ist diskussionswürdig.

2. Auch wurde die Frage der Auslegung des Art. 15 I der Datenschutzrichtlinie im Lichte der GRCh, insbesondere Art. 7, 8, 11 und 52 GRCh beleuchtet. Der EuGH erklärte im Hinblick auf den Telos der Art. 7, 8, 11 und 52 GRCh, dass die Zweckbestimmung „Schutz vor Straftaten jeglicher Art“ die Eingriffe in die Rechtsgüter der Betroffenen nicht rechtfertigt.

Der Sinn und Zweck der Regelungen liegt gerade darin, dass die Ausnahmen vom Schutz der Verkehrsdaten und der Kommunikation auf das Notwendigste beschränkt werden sollen, damit die Eingriffe so gering und transparent wie möglich stattfinden können.

Die Erklärung des EuGH hat zur Folge, dass die unterschiedslose und anlasslose Speicherung sämtlicher Verkehrs- und Standortdaten aller Teilnehmer und registrierten Nutzer bezüglich aller elektronischen Kommunikationsmittel auf Vorrat mit dem Unionsrecht unvereinbar ist.

3. Abschließend wurde vom EuGH festgestellt, dass die Umsetzungsregelungen nach obiger Argumentation in den harmonisierten Bereich des Europarechts fallen und aus dem Grund am Maßstab des Europarechts, insbesondere der GRCh, zu messen sind.

Wie wirkt sich das Urteil des EuGH auf die deutschen Regelungen aus?

Wie bereits aufgeführt, können dem jüngsten EuGH-Urteil Rückschlüsse für die deutschen Umsetzungsgesetze der Vorratsdatenspeicherungsrichtlinie entnommen werden. Zum einen ähneln die britischen und schwedischen Umsetzungsgesetze in Teilen sehr stark den deutschen Umsetzungsgesetzen. Zum anderen sind die Ausführungen des EuGH sehr allgemein und regeln aus dem Grund weit mehr Fälle als zuvor mit dem Urteil beabsichtigt wurde.

Das heißt, dass auch deutsche Umsetzungsgesetze im Lichte des Europarechts auszulegen sind. Im Wege dieser Auslegung wird in Folge des Telos von Art. 7, 8, 11 sowie 52 GRCh auch hier der Entschluss getroffen werden können, dass die anlasslose und unterschiedslose Vorratsdatenspeicherung unionsrechtswidrig ist. Genau diese Vermutung wurde jüngst im Beschluss des Oberverwaltungsgerichts NRW vom 22. Juni 2017 bestätigt.[8] Inhaltlich ging es bei diesem um die Beschwerde eines IT-Unternehmens, das u.a. grenzüberschreitende Internetzugangsleistungen erbringt, gegen die Verpflichtungen der Vorratsdatenspeicherung. Das OVG hat der Beschwerde der Klägerin stattgegeben, mit der Begründung, dass die Speicherpflicht in ihrer gegenwärtigen Ausgestaltung nicht mit Art. 15 I der Datenschutzrichtlinie für elektronische Kommunikation vereinbar ist. Fundiert wurde diese Entscheidung mit dem EuGH-Urteil vom 21. Dezember 2016, in welchem der EuGH die Erforderlichkeit von personellen, zeitlichen und geographischen Kriterien hervorhob, um den von der Speicherung betroffenen Personenkreis von vornherein zu limitieren. Eine anderweitige Kompensation der Eingriffsintensität, etwa durch das Beschränken der Zugriffsmöglichkeit der Behörden auf die sensitiven Daten oder durch Maßnahmen zum Missbrauchsschutz bezüglich des entstehenden Datenpools, sei nicht möglich.

Infolgedessen wird nun die Vorratsdatenspeicherung seitens der Bundesnetzagentur ausgesetzt.[9]

Rechtsschutzmöglichkeiten des Bürgers

Auch wenn die Unionsrechtswidrigkeit der Vorratsdatenspeicherung festgestellt wurde, ist die Frage der Rechtsschutzmöglichkeiten noch nicht hinreichend behandelt.

Der Bürger könnte Verfassungsbeschwerde gegen §§ 113 a, 113 b TKG erheben. Ist das aber wirklich so einfach? Problematisch ist, inwieweit dem Bundesverfassungsgericht eine Prüfkompetenz für Umsetzungsgesetze, welche als abgeleitetes Unionsrecht zu verstehen sind, zusteht. 1986 stellte das Bundesverfassungsgericht in seiner „Solange II-Entscheidung“ fest, dass die Prüfungskompetenz des BVerfG solange verdrängt wird, wie die Europäische Union einen wirksamen Schutz der Grundrechte gegenüber von Hoheitsakten der Union generell gewährleistet. Dieser Schutz sei dem Grundrechtsschutz des GG gleich zu beachten. Aus diesem Grund käme eine Überprüfung seitens des BVerfG nur von solchen Umsetzungsgesetzen in Betracht, welche in Folge von Richtlinien mit Umsetzungsspielräumen entstanden sind.[10]

Der Unionsgesetzgeber gewährt den Mitgliedstaaten bei der Umsetzung der Richtlinie zur Vorratsdatenspeicherung weitreichenden Umsetzungsspielraum. Hinsichtlich dieser auf den Umsetzungsspielraum beruhenden Regelungen ist die Verfassungsbeschwerde somit erfolgsversprechend.

Problematisch wird hingegen das Vorgehen gegen Umsetzungsregelungen, welche in Folge von zwingenden Vorschriften von Richtlinienbestimmungen zustande gekommen sind. Diesbezüglich führt das BVerfG[11] auf, dass vorerst eine Vorlage in Form eines Vorabentscheidungsverfahrens gem. Art. 267 AEUV dem EuGH erfolgen müsse, welches die Richtlinie für rechtswidrig zu erklären habe. Der EuGH hat die Vorratsdatenspeicherungsrichtlinie bereits am 08.04.2014 für unionsrechtswidrig und unzulässig erklärt.[12] Man könnte sich fragen, ob das BVerfG an das Urteil überhaupt gebunden ist. Diesbezüglich kommt man jedoch in Anbetracht des Vertrags von Lissabon[13], sowie dem Grundsatz der Europarechtsfreundlichkeit des Grundgesetzes, welche unter anderem in Art. 23 I GG verankert ist, zu dem Ergebnis, dass durchaus eine Bindung besteht.

Demnach ist vor dem Hintergrund der oben dargestellten Historie darauf zu schließen, dass auch diesbezüglich dem BVerfG eine Prüfkompetenz zukommt.

Ausblick

Um abschließend noch einmal Bezug auf die Anfangsthese zu nehmen: Man kann durchaus von einem Staat der Totalüberwachung sprechen, denn durch die Instrumentalisierung der Dienstanbieter für die Datenspeicherung und -verarbeitung kann sich der Bürger, insbesondere Nutzer der Fernmeldetechniken, nie einer überwachungslosen Kommunikation sicher sein. Er muss sich also immer im Klaren sein, dass er jederzeit abgehört und zur Rechenschaft gezogen werden kann. Diese hervorgerufene Situation verkörpert eine enorme Einbuße für das Telekommunikationsgeheimnis aus Art. 10 I GG und im weitesten Sinne für die Meinungsfreiheit aus Art. 5 I GG.

[1] EuGH, Urt. v. 21.12.2016 – C-203/15, C-698/15.

[2] BVerfGE 125, 260.

[3] BVerfGE 125, 260, amtliche Leitsätze.

[4] BVerfGE 65, 1.

[5] EuGH, Urt. v. 08.04.2014 – C-293/12.

[6] BVerfG, Beschl. v. 08.06.2016 – 1 BvQ 42/15, Rn. 11 ff.

[7] EuGH, Urt. v. 26.02.2013 – C-617/10, Rn. 28.

[8] OVG NRW, Beschl. v. 22.06.2017 – 13 B 238/17.

[9] https://www.golem.de/news/nach-gerichturteil-bundesnetzagentur-setzt-vorratsdatenspeicherung-aus-1706-128628.html.

[10] BVerfGE 73, 339 (387).

[11] BVerfGE 118, 79 (95 ff.).

[12] EuGH, Urt. v. 08.04.2014 – C-293/12.

[13] BVerfG, Urt. v. 30.06.2009 – 2 BvE 2/08 u.a.