Das Thema „Vorratsdatenspeicherung“ erhitzt seit über 10 Jahren regelmäßig die Gemüter. Mit dem Urteil des Bundesverfassungsgerichts vom 2. März 2010 wurden in Deutschland die entsprechenden nationalen Vorschriften zur „anlasslosen“ und umfangreichen Langzeitspeicherung von Daten für verfassungswidrig erklärt. Diese Vorschriften entstanden aus einer EU-Richtlinie aus dem Jahre 2006. Es folgte ein neues Gesetz, das ebenfalls angegriffen wurde und mittlerweile zur Entscheidung beim EuGH liegt. Es ist davon auszugehen, dass auch diese Normen beanstandet oder gar für unzulässig erklärt werden dürften.
In den Nachbarländern verhält sich die Rechtslage ähnlich. Auch hier haben die Gesetzgeber jeweils nationale Bestimmungen entworfen und verabschiedet, die eine langfristige (mehrmonatige) Speicherung von Telekommunikationsdaten, wie unter anderem die Verkehrsdaten, Standortdaten oder gar Geräteinformationen regeln und den Telekommunikationsanbietern entsprechende Pflichten auferlegen. All jene Informationen weisen einen Personenbezug auf und erlauben die Personenidentifikation, weswegen Konflikte mit dem Datenschutzrecht wie auch den Grundrechten auf der Hand liegen.
EuGH entscheidet erneut
Um sich Klarheit über die Verfassungskonformität dieser nationalen Bestimmungen zu verschaffen, haben die nationalen Gerichte in Großbritannien, Frankreich und Belgien den EuGH angerufen und um Prüfung der Frage gebeten, ob diese EU-Mitgliedstaaten in ihren Ländern den Betreibern elektronischer Kommunikationsdienste solche Pflichten zur Vorratsdatenspeicherung auferlegen dürfen.
Hierzu stellte der EuGH in seinem Urteil vom 6. Oktober 2020 unter anderem fest, dass grundsätzlich die frühere Datenschutzrichtlinie (Richtlinie 2002/58/EG) über den Schutz der Privatsphäre und der elektronischen Kommunikation auch auf die nationalen Rechtsvorschriften anwendbar sei. Somit könnten auch die Anbieter verpflichtet werden, die Datenverarbeitung und -übermittlung an Behörden zum Zwecke des Schutzes der nationalen Sicherheit und der Verbrechensbekämpfung durchzuführen.
Gleichwohl machten die höchsten Richter aus Luxemburg in den jeweiligen Urteilen deutlich, dass diese Datenschutzrichtlinie sowie auch die mittlerweile geltende DSGVO (im Lichte von Art. 23 Abs. 1 DSGVO) jedoch solchen nationalen Gesetzen entgegenstünden, welche die Anbieter zu einer allgemeinen (pauschalen) und „unterschiedslosen“ Speicherung dieser Daten verpflichtet. Eine derartige Regelung sei ein schwerwiegender Eingriff in die Grundrechte Charta:
„Secondly, in Joined Cases La Quadrature du Net and Others and in Ordre des barreaux francophones et germanophone and Others, the Court finds that the directive precludes legislative measures requiring providers of electronic communications services to carry out the general and indiscriminate retention of traffic data and location data as a preventive measure. Those obligations to forwardand to retain such data in a general and indiscriminate way constitute particularly serious interferences with the fundamental rights guaranteed by the Charter, where there is no link between the conduct of the persons whose data is affected and the objective pursued by the legislation at issue.“
(Auszug aus der Pressemitteilung Nr. 123/20 vom EuGH, 6. Oktober 2020).
Ausnahmen sind denkbar
Aber und entgegen früherer Rechtsprechung ließ das höchste europäische Gericht der Vorratsdatenspeicherung in sehr bestimmten und klar definierten Ausnahmefällen einen Spalt offen. Dieser wird in der Pressemitteilung des Gerichts besonders hervorgehoben.
Wenn der Mitgliedstaat mit einer „ernsthaften Bedrohung der nationalen Sicherheit“ konfrontiert wird oder aber es um die Bekämpfung schwerer Straftaten oder aber die Verhütung schwerwiegender Sicherheiten geht, kann der Mitgliedstaat den Anbietern ausnahmsweise durch spezielle gesetzliche Bestimmungen eine verhältnismäßige und auf das erforderliche Maß (zeitlich) beschränkte Vorratsdatenspeicherung auferlegen. Dies umfasst auch die IP-Adresse. In derartigen Fällen muss die Aufbewahrung jedoch gerichtlich überprüfbar sein.
„Likewise, it is open to a Member State to carry out a general and indiscriminate retention of IP addresses assigned to the source of a communication where the retention period is limited to what is strictly necessary, or even to carry out a general and indiscriminate retention of data relating to the civil identity of users of means of electronic communication, and in the latter case the retention is not subject to a specific time limit.“
Welche Situationen hiervon erfasst sein sollen, lässt der EuGH jedoch offen und erlaubt den nationalen Gesetzgebern somit einen gewissen Spielraum. Auch wird kein Richtwert für eine Speicherfrist genannt.
Fazit
Das höchste europäische Gericht bestätigt mit dem heutigen Urteil die Grundrechte der EU-Bürger und erteilt einer allgemeinen, pauschalen Vorratsdatenspeicherung eine Abfuhr. Dies steht auch im Einklang mit früheren Urteilen, wonach derartige gesetzgeberische Vorhaben Jahre später immer wieder für unzulässig erklärt worden sind. Auch setzt es sich konkret mit der Datenschutzrichtlinie und der DSGVO auseinander.
Gleichzeitig schafft die Entscheidung aber auch Raum für Ausnahmen, die in der Realität häufig wieder zur Regel werden (könnten). Es bleibt abzuwarten, was sich konkret aus dem Urteil, das noch nicht im Volltext vorliegt, ergibt.
Es könnte daher sein, dass die Mitgliedstaaten den Betreibern von Telekommunikationsdiensten im Zuge der Terrorbekämpfung abermals, eng gefasste Bestimmungen zur Speicherung und Aufbewahrung von Verkehrsdaten und Daten zu den einzelnen Geräten der Nutzer für einen längeren Zeitraum von z.B. für 6 Monate auferlegen.