Wissenschaftliche Dienste Ausarbeitung Deutscher Bundestag Rechtlicher Rahmen fiir eine Regelung der Vorratsdatenspeicherung durch den deutschen Gesetzgeber 2015 Deutscher Bundestag WD 3 - 3000 - 071/15 Wiss enschaftll chg Dfgnste Au s arbeftung WDg - gooo - 071/15 Sgftg 2 Rechtlicher Rahmen fiir eine Regelung der Vorratsdatenspeicherung durch den deutschen Gesetzgeber Verfass ar /in : Aktenzeich en: Abschluss der Arbeit: Fachbereich: Telefon: WD2 - 3000 - 071/15 27. März 2015 WD 2: Verfassung und Verwaltung Ausarbeitungen und andere Informationsangebotg der Wissenschaftlfchen Dienste geben nlcht dle Auffassung des Deutschen Bundestages, eines sgtngr Organe oder der Bundestagsvgrwaltung wieder. Vielmehr Hegen ste In dgr fachllchen Verantwortung der Verfasseflnngn und Verfasser sowtg der Fachbereichslgftung. Der Deutsche Bundestag behält sich die Rechte der Vertffgntllchung und Verbreitung vor. Beides bedarf der Zustlmmung der Leitung der Abteilung W , Platz dgr Republik I , 11011 Berlfn. Wiss enschaftll chg Dfgnste 1. Fragestellung Au s arbeftung WDg - gooo - 071/15 Sgftg g In Deutschland wurde die Richtlinie über die Vorratsdatanspeicherungl mit dem „Gesetz zur Neuregelung dar Telekommunikationsüberwachung und anderer verdeckter Ermittlungsme_ßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG" vom 21. Dezember 2007 umgesetzt. Die Anderungen betrafen im Wesentlichen dia Strafprozessordnung und das Telekommunikationsge- Satz. Das Bundesverfassungsgericht hat die deutsche Umsetzung der Richtlinie mit Urteil vom 2. März 2010 für verfassungswidrig erklärt 2 Anlässlich von zwei miteinander verbundenen Vorabentschaidungsarguchen , die vom High Court aus Irland und dem Verfassungsgerichtshof aus Osterraich vorgelegt wurden, hat der Europäische Gerichtshof mit Urteil vom 8. April 2014 die zugrunde liegende Richtlinie über die Vorratsdatenspeicharung für ungültig erklärt.a Vor diesem Hintergrund wird gefragt, welcher rechtliche Rahmen nunmehr für eina Regelung der Vorratsdatenspeicharung durch dan deutschen Gesetzgeber basteht. 2. Rechtsprechung des Bunde sverfassungsgerichts In seinem Urteil zur Umsetzung der Vorratsdatenspeicharungsrichtlinie hat das Bundesverfassungsgericht eine Vorratsdatenspeicherung zwar nicht als vornherein unvereinbar mit Art. 10 Abs. 1 Grundgesetz (GG) angesehen, jedoch die konkrete Ausgestaltung für unverhältnismäßig und damit verfassungswidrig erklärt. In seiner Entscheidung erläutert das Gericht, unter welchen 2vIaßgaben eine solche Speicherung mit Art. 10 Abs. 1 GG vereinbar sein kann': Maßgeblich dafür sei zunächst, dass dia vorgesehene Speicherung nicht direkt durch den Staat, sondern durch eine Verpflichtung der privaten Dienstaanbieter verwirklicht werde. s Damit warda gewährleistet, dass die Daten dam Staat nicht unmittelbar als Gesamtheit zur Verfügung stehen. Richtlfnle 2006/24/EG des Europäischen Parlaments und des Rates 15. März 2006 über dfg Vorratsspgfche- Tung von Daten, die bei dgr Bergttstgllung tffgntlfch zugängllcher elektrontscher Kommunikationsdlenstg oder öffentllchgr Kommunlkatfonsnetze erzeugt oder vgrarbgftgt werden, und zur Änderung der Richtllnfg 2002/58/EG. BVerfGE 125, 260. EuGH, urteil vom 8. April 2014 - c-2gg,'12 und c-504,'12, MMR 2014, S. 412 ff. Sfghe auch dfg Pressemittgtlung Nr. 11/2010 des Bundesverfassungsgerichts vom 2. März 2010, abrufrar unter http://•.v.vw.bundgsvgrfassungsgerfcht.dg,/SharedDocs,/PrgssemIttgtIungeniDE/2010,'bvgIO-OII.html (letzter Abruf am 24. März 201 S), dort zum Folgenden. BVerfGE 125, 260 (221). Wiss enschaftll chg Dfgnste BVerfGE 125, 260 (223 f.). BVerfGE 125, 260 (225 ff.). BVerfGE 125, 260 (227 ff). Au s arbeftung WDg - gooo - 071/15 Sgftg 4 Weiter sei Voraussetzung, dass die anlagsloge Speicherung dar Talakommunikationgverkehrsdaten eine Ausnahme bleibe und nur in einem engen zeitlichen Rahmen erlaubt werde.' Eine Speicherungsdauer von sechs Monaten liege an der Obergrenze dessen, was unter Verhältnismäßigkeitserwägungen rechtfertigungsfähig sai.7 Im Einzelnen fordert das Gericht hinreichend anspruchsvolle und normenklare Regelungen zur Datensicherheit (hierzu 2.1.), zur Begrenzung der Datenverwendung (hierzu 2.2.), zur Transparanz (hierzu 2. g.) sovie zum Rechtsschutz (hierzu 2.4.). Schließlich enthält die Entscheidung das Bundesverfassungsgerichts auch Ausführungen zu den Anforderungen an die mittelbare Nutzung der Daten zur Identifizierung von IP-Adressen (hierzu 2.5 2.1. Anforderungen an die Datensicherheit Das Gericht betont dia Bedeutung von Datensicherheit für die Verhältnismäßigkeit entsprechender Regelungen zur Vorratsdatenspeicherung und fordert gesetzliche Regelungen, dia ein besonders hohes Maß an Sicherheit jedenfalls dem Grunde nach normenklar und verbindlich vorgaben .E Dabei könne der Gesetzgeber die Aufgabe der technischen Konkretisierung des vorgegebenen Maßstabs auch einer Aufsichtsbehörde übertragen. Er habe jedoch sicherzustellen, dass die jeweiligen Telekommunikationsanbieter nicht unkontrolliert die Entscheidungen über Art und Maß dar Schutzvorkehrungen treffen. 2.2. Anforderungen an die unmittelbare Datenverwendung Weiter komme eine Verwendung dar Daten nur für überragend wichtige Aufgaben das Rechtsgüterschutzes in Betracht. g Für dia Strafverfolgung bedeute dies, dass ein Abruf zumindest den durch bestimmte Tatsachen begründeten Verdacht einer auch im Einzelfall schwerwiegenden Straftat voraussetze. Für die Gefahrenabwehr gelte, dass ein Abruf der vorsorglich gespeicherten Daten nur bei Vorliegen einer durch bestimmte Tatsachen hinreichend belegten, konkreten Gefahr für Laib, Leben oder Freiheit einer Person, fül den Bestand oder die Sicherheit das Bundes oder einas Landes oder zur Abwehr einer gemeinen Gefahr zugelassen werden dürfe. Diese Anforderungen seien auch auf die Nachrichtendienste zu übertragen, da es auch insoweit um eine Form der Gefahrprävention gehe. Dar Verhältnismäßigkeitsgrundsatz fordere zudem, dass für ainen engen Kreis von auf besondere Vertraulichkeit angewiesenen Telekommunikationsverbindungen ein grundsätzliches Übermittlungsverbot geschaffen werde. Dies gelte beispielsweise här telefonische Beratung in seelischen oder sozialen Notlagen. BVerfGE 125, 260 (222). Wiss enschaftl Ichg Dfgnste BVerfGE 125, 260 (gg4 ff.). BVerfGE 125, 260 (gg7 ff.). BVerfGE 125, 260 (egg f.). BVerfGE 125, 260 (240 ff). Au s arbeftung WDg - gooo - 071/15 Sgftg S 2.3. Anforderungen an die Transparenz der Datenübermittlung Dar Gesetzgeber müsse durch wirksame Transparenzregaln der bedrohlichen Wirkung, dia Datenspaicherung und -verwendung auf den Bürger haben könne, entgegenwirken. Dazu gehöre auch der Grundsatz der Offenheit der Erhebung und Nutzung personenbezogener Daten. Eina Verwendung der Daten ohne Wissen des Betroffenen sei nur dann zulässig, wenn andernfalls der Zweck der Untersuchung, dam der Datenabruf diene, vereitelt würde. Dar Gesetzgeber könne dies für dia Gefahrenabwehr und die Aufgabenwahrnahmung der Nachrichtendienste grundsätzlich annehmen . Im Rahman der Strafverfolgung komme auch eine offene Erhebung und Nutzung der Datan in Betracht. In diesem Bereich dürfe eine heimliche Verwendung der Daten nur erfolgen, wenn sie im Einzelfall erforderlich und richterlich angeordnet sei. Erfolge die Datenverwendung heimlich , sei eine nachträgliche Benachrichtigung vorzusehen. Ausnahmen bedürften dar richterlichen Kontrolle. 2.4. Anforderungen an den Rechtsschutz und an Sanktionen Weiter führt das Bundesverfassungsgericht aus, dass eine Übermittlung und Nutzung der gespeicherten Daten grundsätzlich unter Richtervorbehalt zu stellen sei. Sofern ein vorheriger Rechtsschutz nicht möglich sei, solle eine nachträgliche gerichtliche Kontrolle eröffiet warden. Insbesondere dem Hintergrund dar Verpflichtung des Staates, dem Einzelnen die Entfaltung sainer Persönlichkeit zu ermöglichen und ihn vor Persönlichkeitsrechtsgefährdungen durch Dritte zu schützen, sai zudem die Schaffung wirksamer Sanktionen für dan Fall von Rechtsverletzungen erforderlich. 12 Der Gesetzgeber besitze diesbezüglich jedoch einen waitan Gestaltungsspielraum . 2.5. Anforderungen an die mittelbare Nutzung der Daten zur Identifizierung von IP-Adrassen Weniger strange verfassungsrechtliche Anforderungen gelten laut Bundesverfassungsgericht für eine nur mittelbare Verwendung der vorsorglich gespeicherten Daten in Form von behördlichen Auskunftsansprüchen gegenüber den Diensteanbietern hinsichtlich der Anschlussinhaber bestimmter , bereits bekannter IP-Adressan.1a Systematische Ausforschungen über einen längeren Zeitraum oder die Erstellung Persönlichkeits- und Bewegungsprofilen seien auf der Grundlage solcher Auskünfte nicht möglich. Dar Gesetzgeber dürfe innerhalb des ihm zustehenden Gestaltungsspiellaums solche Auskünfta auch unabhängig von begrenzenden Straftaten oder Rechtsgüterkatalogen für dia Verfolgung Straftaten, für die Gefahrenabwehr und die Aufgabenwahrnehmung der Nachrichtendienste auf der Grundlage der allgemeinen fachrechtlichen Eingriffsermächtigungen zulassen. Der Gesetzge- 10 11 12 Wiss enschaftll chg Dfgnste Au s arbeftung WDg - gooo - 071/15 Sgftg E ber müsse jedoch sicherstellen, dass Auskünfte nur aufgrund eines hinreichenden Anfang dachte oder einar konkreten Gefahr auf einzelfallbezogener Tatsachenbasis erfolgen. Der Betroffene müsse zudem der Einholung der Auskunft benachrichtigt werden, ein Richtervorbehalt sai jedoch nicht erforderlich. Schließlich sei die Einholung einer solchen Auskunft nur bei solchen Rechtsgutsbeeinträchtigungen gerechtfertigt, denen von der Rechtsordnung auch sonst ein hervorgehobenes Gewicht beigemessen werde. 3. Rechtsprechung des Europäischen Gerichtshoß In seinem Urteil vom 8. April 2014 hat der Europäische Gerichtshof die Vorratsdatanspeicherungsrichtlinie mit allgemeiner Wirkung für von Anfang an ungültig erklärt. Damit ist die in der Richtlinie enthaltene Umsetzungspflicht entfallen und das Vertragsverletzungsvarfahren gegen Deutschland hat seine Grundlage verloren. Nach Art. 51 Abs. 1 Grundrechtecharta (GrCh) gilt die Grundrechtecharta für die Mitgliedstaaten ausschließlich bei der Durchführung des Rechts der Union. Vor diesem Hintergrund könnte argumentiert werden, dass mit dem Wegfall der Richtlinie über die Vorratsdatenspeicherung insoweit auch die Grundrechtecharta in der Auslegung des Europäischen Gerichtshofs nicht fül die Ylitgliedstaaten bindend sei. Dem wird jedoch entgegengehalten, dass Deutschland weiterhin an die Datenschutzrichtlinie (Richtlinie 95/46/EG) sowie die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie gebunden sei." Nach dem Wegfall der Vorratsdatanspaicherungsrichtlinie müssten sich nationale Regelungen zur Vorratsdatenspeicherung an den durch Art. 15 Richtlinie 2002/58/EG gezogenen Rahmen halten.2S Insoweit sei auch der nationale Gesetzgeber an die Grundrechtecharta in der Auslegung des Europäischen Gerichtshofs gebunden . la Vor diesem Hintergrund ist hier auch die vom Europäischen Gerichtshof im Zusammenhang mit dar Vorratsdatanspaicherungsrichtlinie getätigte Auslegung dar Grundrechtecharta zu erörtern. Dar Europäische Gerichtshof prüft dia Vorratsdatenspeicherungsrichtlinia am Maßstab von Art. 7 GrCh (Achtung des Privat- und Familienlebens) und Art. 8 GrCh (Schutz personenbezogener Daten ) und stellt dabei fest, dass der Unionsgesetzgeber beim Erlass der Richtlinie die sich aus dem Verhältnismäßigkeitsgrundsatz ergebenden Grenzen überschritten habe. Aufgrund der Bedeutung der betroffenen Grundrechte sowie der Schwere des Eingriffs fordert der Europäische Gerichtshof klare und präzise Regeln für die Tragweite und Anwendung der fraglichen Maßnahme sowie die Aufstellung von Mindestanforderungen, die einen wirksamen Schutz der personenbezogenen Daten vor Missbrauchsrisiken sowia vor jedem unberechtigten Zugang zu diesen Daten und jeder 14 15 16 Roßnagel, Neue Maßstäbe für dgn Datenschutz In Europa — Folgerungen aus dgm EuGH-UrteII zur Vorratsdatenspeicherung , xnv1R 2014, S. 272 (276). Priebe, Reform der Vorratsdatgnspgfcherung — strenge Maßstäbe des EuGH, EuZW 2014, S. 456 (458); Kunnert, EuGH zur Vorratsdatenspeicherung: Außer Spesen nfchts gewesen? , DUD 2014, S. 774 (782 f.). Roßnagel, Neue Maßstäbg für dgn Datenschutz In Europa — Folgerungen aus dgm EuGH-UrteII zur Vorratsdatenspeicherung , MIvIR 2014, S. 272 (376); so im Ergebnis auch Kühllng, Der Fall der Vorratsdatenspetchgrungs- Tichtltnfg und dgr Aufstfgg des EuGH zum Grundrechtsgeflcht, NV-WZ 2014, S. 681 (684). Wiss enschaftll chg Dfgnste Au s arbeftung WDg - gooo - 071/15 April 2014 - c-2gg,'12 und c-504,'12, MMR 2014, S. 412 414 - Rn. 57 ff). April 2014 - c-2gg,'12 und c-504,'12, MMR 2014, S. 412 415 - Rn. Eg E). Sgftg 7 unberechtigten Nutzung ermöglichen. 17 Der Schutz des Grundrechts auf Achtung des Privatlebens verlange, dass sich die Ausnahmen vom Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut Notwendige beschränken.13 Dies sei bei der Vorratsdatanspeicherungsrichtlinie nicht gewährleis tet. g. 1. Differenzierungen, Einschränkungen oder Ausnahmen Zunächst moniert das Gericht, dass sich dia Vorratsdatengpeicharungsrichtlinia auf alla Personan und alle elektronischen Kommunikationsmittel sowie auf sämtliche Verkehrsdaten erstrecke, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels dar Bekämpfung schwerer Straftaten vorzusehen. Die Richtlinie gelte auch fül Personen, bei denen keine Anhaltspunkte dafür bestehen, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten stehen könnte. Da die Richtlinie keine Ausnahmen vorsahe , erfassa sie auch Personen, für deren Kommunikationsvorgänge nach den nationalen Rechtsvorschriften ein Berufsgeheimnis gelte. Die Richtlinie verlange keinen Zusammenhang zwischen den Daten, daran Vorratsspeicherung vorgesehen sai, und einer Bedrohung der öffentlichen Sicherheit . 3.2. Objektive Kriterien für den Zugang und die spätere Nutzung dar Daten Weiter kritisiert das Gericht, dass die Vorratsdatenspeicharungsrichtlinie kein objektives Kritarium für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung enthalte So fehlten materiell- und verfahrensrechtliche Voraussetzungen für den Zugang sowie eine Beschränkung auf Zwacke der Verhütung, Feststellung oder Bekämpfung genau abge grenztar schwerer Straftaten. Insbesondere sehe die Richtlinie keine vorherigen Kontrollen durch ein Gericht oder eina una bhängige Vervvaltungsstelle vor. e.g. Objektive Kriterien bezüglich der Speicherdauar In Bezug auf die Speicherdauer moniert der Europäische Gerichtshof, dass die Richtlinie eina Speicherung von mindestens sechs Monaten vorsehe, dabei jedoch nicht zwischen den verschiedenen Datenkategorian differenziere. 21 Zudem könne die Speicherfrist zwischen sechs und 24 Ylonaten betragen, ohne dass diese auf objektiven K_riterien beruhen müsse, die eine Beschränkung auf das absolut Notwendige gewährleisten. 17 18 20 21 EuGH, Urten vom 8. EuGH, Urten vom 8. EuGH, Urten vom 8. EuGH, Urten vom 8. EuGH, Urten vom 8. April 2014 - c-2gg,'12 und c-504,'12, MMR 2014, S. 412 414 - Rn. 54). April 2014 - c-2gg,'12 und c-504,'12, MMR 2014, S. 412 414 - Rn. 52). April 2014 - c-2gg,'12 und c-504,'12, MMR 2014, S. 412 414 E - R_n. SO ff). Wiss enschaftll chg Dfgnste Au s arbeftung WDg - gooo - 071/15 Sgftg a 3.4. Ragelungen zur Datensicherheit/Speicherung dar Datan auf Unionsgebiat Weiter führt das Gericht aus, dass die Vorratsdatenspaicherungsrichtlinie keine hinreichenden Garantien dafür biete, dass die auf Vorrat gespeicherten Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu ihnen und jeder unberechtigten Nutzung geschützt sind.n Das Gericht stellt dabei vor allem auf zwei Aspekta ab: Zum einen enthalte die Richtlinie keine speziellen Regelungen, die der großen Datenmenge, dem sensiblen Charakter dieser Daten und der Gefahr eines unberechtigten Zugangs zu ihnen angepasst sind. Die Richtlinie gewährleiste auch nicht, dass die Telekommunikationsanbieter durch technische oder organisatorische Maßnahmen här ein besonders hohes Schutz- und Sicherheitsniveau sorgen, sondern gestatte es ihnen, bei der Bestimmung das Sicherheitsniveaus wirtschaftliche Erwägungen zu berücksichtigen. Vor allem gewährleiste die Richtlinie nicht, dass die Daten nach Ablauf ihrer Speicherungsfrist unwiderruflich vernichtet werden. Zum anderen moniert der Europäische Gerichtshof, dass die Richtlinie nicht dia Speicherung dar Daten auf Unionsgabiet vorsehe. So sei nicht vollumfänglich gewährleistet, dass die Einhaltung der Erfordernisse das Datenschutzes und der Datensicharhait durch eine unabhängige Stelle überwacht wird. EuGH, urteil vom 8. April 2014 - c-2gg,'12 und c-504,'12, MMR 2014, S. 412 415 - Rn. EE ff.). 22