© 2015 Deutscher Bundestag WD 3 - 3000 - 088/15 Zulässigkeit einer Vorratsdatenspeicherung in Deutschland nach der Rechtsprechung des Bundesverfassungsgerichts und des Europäischen Gerichtshofs Ausarbeitung Wissenschaftliche Dienste Ausarbeitungen und andere Informationsangebote der Wissenschaftlichen Dienste geben nicht die Auffassung des Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Der Deutsche Bundestag behält sich die Rechte der Veröffentlichung und Verbreitung vor. Beides bedarf der Zustimmung der Leitung der Abteilung W, Platz der Republik 1, 11011 Berlin. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 088/15 Seite 2 Zulässigkeit einer Vorratsdatenspeicherung in Deutschland nach der Rechtsprechung des Bundesverfassungsgerichts und des Europäischen Gerichtshofs Verfasser/in: Aktenzeichen: WD 3 - 3000 - 088/15 Abschluss der Arbeit: 27. März 2015 Fachbereich: WD 3: Verfassung und Verwaltung Telefon: Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 088/15 Seite 3 1. Einleitung Mittels der Vorratsdatenspeicherungsrichtlinie (Richtlinie 2006/24/EG) von 2006 sollten die Vorschriften der Mitgliedstaaten über die Verpflichtung von Anbietern elektronischer Kommunikationsdienste oder Betreibern von Kommunikationsnetzen zur Vorratsspeicherung der von ihnen erzeugten und verbreiteten Daten harmonisiert werden, damit diese Daten zur Ermittlung, Feststellung und Verfolgung schwerer Straftaten zur Verfügung stehen.1 In Deutschland wurde die Richtlinie 2007 in nationales Recht umgesetzt.2 2010 hat das Bundesverfassungsgericht die Umsetzung der Vorratsdatenspeicherungsrichtlinie in Deutschland für verfassungswidrig erklärt.3 2014 wurde die zugrunde liegende Richtlinie über die Vorratsdatenspeicherung vom Europäischen Gerichtshof für ungültig erklärt.4 Vor diesem Hintergrund wird gefragt, in welchen Mitgliedstaaten der Europäischen Union die Vorratsdatenspeicherungsrichtlinie umgesetzt wurde und welcher rechtliche Rahmen nach den Entscheidungen des Bundesverfassungsgerichts und des Europäischen Gerichtshofs für eine Regelung der Vorratsdatenspeicherung durch den deutschen Gesetzgeber besteht. 2. Umsetzung der Vorratsdatenspeicherungsrichtlinie in den Mitgliedstaaten der Europäischen Union Sämtliche Mitgliedstaaten haben– wenn auch schleppend5 – Gesetze zur Umsetzung der Vorratsdatenspeicherungsrichtlinie erlassen.6 Diese wurden jedoch teilweise von den jeweiligen Verfassungsgerichten der Mitgliedstaaten wieder aufgehoben, teilweise haben die Gesetzgeber hierauf reagiert. Klagen gegen die nationalen Umsetzungsgesetze wurden in Bulgarien, Irland, Deutschland , den Niederlanden, Österreich, Polen, Rumänien, der Slowakei, Slowenien, Tschechien, Ungarn und Zypern erhoben.7 Angesichts dieser Gerichtsverfahren und der Frage, wie die einzelnen 1 Priebe, Reform der Vorratsdatenspeicherung – strenge Maßstäbe des EuGH, EuZW 2014, S. 456 (456). 2 Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG vom 21. Dezember 2007. 3 BVerfGE 125, 260. 4 EuGH, Urteil vom 8. April 2014 – C-293/12 und C-594/12, MMR 2014, S. 412 ff. 5 Gegen einige Mitgliedstaaten strengte die Kommission wegen mangelnder Umsetzung Vertragsverletzungsverfahren an, siehe Priebe, Reform der Vorratsdatenspeicherung – strenge Maßstäbe des EuGH, EuZW 2014, S. 456 (456). 6 Siehe die Nachweise bei EUR-Lex unter http://eur-lex.europa.eu/search.html?SUBDOM_INIT=MNE&qid=- 1427454271926&type=advanced&DTS_SUBDOM=MNE&or0=DN%3D72006L0024*%2CDN-old%3D72006L- 0024* (letzter Abruf am 27. März 2015). Ausführlich zur Umsetzung in den Mitgliedstaaten Roßnagel/Moser- Knierim/Schweda, Interessenausgleich im Rahmen der Vorratsdatenspeicherung, 2013, S. 35 ff. und S. 191 ff. 7 Siehe zu den Gerichtsverfahren in den Mitgliedstaaten Cole/Boehm, EU Data Retention – Finally Abolished?, KritV 2014, S. 58 (63 ff.). Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 088/15 Seite 4 Mitgliedstaaten auf die Aufhebung der Vorratsdatenspeicherungsrichtlinie durch den Europäischen Gerichtshof reagieren werden, kann an dieser Stelle der aktuelle Stand der Umsetzung der Richtlinie nicht abschließend beurteilt werden. 3. Rechtlicher Rahmen für eine Regelung der Vorratsdatenspeicherung durch den deutschen Gesetzgeber 3.1. Urteil des Bundesverfassungsgerichts vom 2. März 2010 In seinem Urteil zur Umsetzung der Vorratsdatenspeicherungsrichtlinie hat das Bundesverfassungsgericht eine Vorratsdatenspeicherung zwar nicht als von vornherein unvereinbar mit Art. 10 Abs. 1 Grundgesetz (GG) angesehen, jedoch die konkrete Ausgestaltung für unverhältnismäßig und damit verfassungswidrig erklärt. In seiner Entscheidung erläutert das Gericht, unter welchen Maßgaben eine solche Speicherung mit Art. 10 Abs. 1 GG vereinbar sein kann:8 Maßgeblich dafür sei zunächst, dass die vorgesehene Speicherung nicht direkt durch den Staat, sondern durch eine Verpflichtung der privaten Diensteanbieter verwirklicht werde.9 Damit werde gewährleistet, dass die Daten dem Staat nicht unmittelbar als Gesamtheit zur Verfügung stehen. Weiter sei Voraussetzung, dass die anlasslose Speicherung der Telekommunikationsverkehrsdaten eine Ausnahme bleibe und nur in einem engen zeitlichen Rahmen erlaubt werde.10 Eine Speicherungsdauer von sechs Monaten liege an der Obergrenze dessen, was unter Verhältnismäßigkeitserwägungen rechtfertigungsfähig sei.11 Im Einzelnen fordert das Gericht hinreichend anspruchsvolle und normenklare Regelungen zur Datensicherheit (hierzu 2.1.), zur Begrenzung der Datenverwendung (hierzu 2.2.), zur Transparenz (hierzu 2.3.) sowie zum Rechtsschutz (hierzu 2.4.). Schließlich enthält die Entscheidung des Bundesverfassungsgerichts auch Ausführungen zu den Anforderungen an die mittelbare Nutzung der Daten zur Identifizierung von IP-Adressen (hierzu 2.5.). 3.1.1. Datensicherheit Das Gericht betont die Bedeutung von Datensicherheit für die Verhältnismäßigkeit entsprechender Regelungen zur Vorratsdatenspeicherung und fordert gesetzliche Regelungen, die ein besonders hohes Maß an Sicherheit jedenfalls dem Grunde nach normenklar und verbindlich vorgeben .12 Dabei könne der Gesetzgeber die Aufgabe der technischen Konkretisierung des vorgegebenen Maßstabs auch einer Aufsichtsbehörde übertragen. Er habe jedoch sicherzustellen, dass die 8 Siehe auch die Pressemitteilung Nr. 11/2010 des Bundesverfassungsgerichts vom 2. März 2010, abrufbar unter http://www.bundesverfassungsgericht.de/SharedDocs/Pressemitteilungen/DE/2010/bvg10-011.html (letzter Abruf am 24. März 2015), dort zum Folgenden. 9 BVerfGE 125, 260 (321). 10 BVerfGE 125, 260 (323 f.). 11 BVerfGE 125, 260 (322). 12 BVerfGE 125, 260 (325 ff.). Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 088/15 Seite 5 jeweiligen Telekommunikationsanbieter nicht unkontrolliert die Entscheidungen über Art und Maß der Schutzvorkehrungen treffen. 3.1.2. Unmittelbare Datenverwendung Weiter komme eine Verwendung der Daten nur für überragend wichtige Aufgaben des Rechtsgüterschutzes in Betracht.13 Für die Strafverfolgung bedeute dies, dass ein Abruf zumindest den durch bestimmte Tatsachen begründeten Verdacht einer auch im Einzelfall schwerwiegenden Straftat voraussetze. Für die Gefahrenabwehr gelte, dass ein Abruf der vorsorglich gespeicherten Daten nur bei Vorliegen einer durch bestimmte Tatsachen hinreichend belegten, konkreten Gefahr für Leib, Leben oder Freiheit einer Person, für den Bestand oder die Sicherheit des Bundes oder eines Landes oder zur Abwehr einer gemeinen Gefahr zugelassen werden dürfe. Diese Anforderungen seien auch auf die Nachrichtendienste zu übertragen, da es auch insoweit um eine Form der Gefahrprävention gehe. Der Verhältnismäßigkeitsgrundsatz fordere zudem, dass für einen engen Kreis von auf besondere Vertraulichkeit angewiesenen Telekommunikationsverbindungen ein grundsätzliches Übermittlungsverbot geschaffen werde. Dies gelte beispielsweise für telefonische Beratung in seelischen oder sozialen Notlagen. 3.1.3. Transparenz der Datenübermittlung Der Gesetzgeber müsse durch wirksame Transparenzregeln der bedrohlichen Wirkung, die Datenspeicherung und -verwendung auf den Bürger haben könne, entgegenwirken.14 Dazu gehöre auch der Grundsatz der Offenheit der Erhebung und Nutzung personenbezogener Daten. Eine Verwendung der Daten ohne Wissen des Betroffenen sei nur dann zulässig, wenn andernfalls der Zweck der Untersuchung, dem der Datenabruf diene, vereitelt würde. Der Gesetzgeber könne dies für die Gefahrenabwehr und die Aufgabenwahrnehmung der Nachrichtendienste grundsätzlich annehmen . Im Rahmen der Strafverfolgung komme auch eine offene Erhebung und Nutzung der Daten in Betracht. In diesem Bereich dürfe eine heimliche Verwendung der Daten nur erfolgen, wenn sie im Einzelfall erforderlich und richterlich angeordnet sei. Erfolge die Datenverwendung heimlich , sei eine nachträgliche Benachrichtigung vorzusehen. Ausnahmen bedürften der richterlichen Kontrolle. 3.1.4. Rechtsschutz und Sanktionen Weiter führt das Bundesverfassungsgericht aus, dass eine Übermittlung und Nutzung der gespeicherten Daten grundsätzlich unter Richtervorbehalt zu stellen sei.15 Sofern ein vorheriger Rechtsschutz nicht möglich sei, solle eine nachträgliche gerichtliche Kontrolle eröffnet werden. 13 BVerfGE 125, 260 (327 ff.). 14 BVerfGE 125, 260 (334 ff.). 15 BVerfGE 125, 260 (337 ff.). Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 088/15 Seite 6 Insbesondere vor dem Hintergrund der Verpflichtung des Staates, dem Einzelnen die Entfaltung seiner Persönlichkeit zu ermöglichen und ihn vor Persönlichkeitsrechtsgefährdungen durch Dritte zu schützen, sei zudem die Schaffung wirksamer Sanktionen für den Fall von Rechtsverletzungen erforderlich.16 Der Gesetzgeber besitze diesbezüglich jedoch einen weiten Gestaltungsspielraum . 3.1.5. Mittelbare Nutzung der Daten zur Identifizierung von IP-Adressen Weniger strenge verfassungsrechtliche Anforderungen gelten laut Bundesverfassungsgericht für eine nur mittelbare Verwendung der vorsorglich gespeicherten Daten in Form von behördlichen Auskunftsansprüchen gegenüber den Diensteanbietern hinsichtlich der Anschlussinhaber bestimmter , bereits bekannter IP-Adressen.17 Systematische Ausforschungen über einen längeren Zeitraum oder die Erstellung von Persönlichkeits- und Bewegungsprofilen seien auf der Grundlage solcher Auskünfte nicht möglich. Der Gesetzgeber dürfe innerhalb des ihm zustehenden Gestaltungsspielraums solche Auskünfte auch unabhängig von begrenzenden Straftaten oder Rechtsgüterkatalogen für die Verfolgung von Straftaten, für die Gefahrenabwehr und die Aufgabenwahrnehmung der Nachrichtendienste auf der Grundlage der allgemeinen fachrechtlichen Eingriffsermächtigungen zulassen. Der Gesetzgeber müsse jedoch sicherstellen, dass Auskünfte nur aufgrund eines hinreichenden Anfangsverdachts oder einer konkreten Gefahr auf einzelfallbezogener Tatsachenbasis erfolgen. Der Betroffene müsse zudem vor der Einholung der Auskunft benachrichtigt werden, ein Richtervorbehalt sei jedoch nicht erforderlich. Schließlich sei die Einholung einer solchen Auskunft nur bei solchen Rechtsgutsbeeinträchtigungen gerechtfertigt, denen von der Rechtsordnung auch sonst ein hervorgehobenes Gewicht beigemessen werde. 3.2. Urteil des Europäischen Gerichtshofs vom 8. April 2014 In seinem Urteil vom 8. April 2014 hat der Europäische Gerichtshof die Vorratsdatenspeicherungsrichtlinie mit allgemeiner Wirkung für von Anfang an ungültig erklärt. Damit ist die in der Richtlinie enthaltene Umsetzungspflicht entfallen und das Vertragsverletzungsverfahren gegen Deutschland hat seine Grundlage verloren. Nach Art. 51 Abs. 1 Grundrechtecharta (GrCh) gilt die Grundrechtecharta für die Mitgliedstaaten ausschließlich bei der Durchführung des Rechts der Union. Vor diesem Hintergrund könnte argumentiert werden, dass mit dem Wegfall der Richtlinie über die Vorratsdatenspeicherung insoweit auch die Grundrechtecharta in der Auslegung des Europäischen Gerichtshofs nicht für die Mitgliedstaaten bindend sei. Dem wird jedoch entgegengehalten, dass Deutschland weiterhin an die Datenschutzrichtlinie (Richtlinie 95/46/EG) sowie die Datenschutzrichtlinie für elektronische 16 BVerfGE 125, 260 (339 f.). 17 BVerfGE 125, 260 (340 ff.). Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 088/15 Seite 7 Kommunikation (Richtlinie 2002/58/EG) gebunden sei.18 Nach dem Wegfall der Vorratsdatenspeicherungsrichtlinie müssten sich nationale Regelungen zur Vorratsdatenspeicherung an den durch Art. 15 Richtlinie 2002/58/EG gezogenen Rahmen halten.19 Insoweit sei auch der nationale Gesetzgeber an die Grundrechtecharta in der Auslegung des Europäischen Gerichtshofs gebunden .20 Vor diesem Hintergrund ist hier auch die vom Europäischen Gerichtshof im Zusammenhang mit der Vorratsdatenspeicherungsrichtlinie getätigte Auslegung der Grundrechtecharta zu erörtern. Der Europäische Gerichtshof prüft die Vorratsdatenspeicherungsrichtlinie am Maßstab von Art. 7 GrCh (Achtung des Privat- und Familienlebens) und Art. 8 GrCh (Schutz personenbezogener Daten ) und stellt dabei fest, dass der Unionsgesetzgeber beim Erlass der Richtlinie die sich aus dem Verhältnismäßigkeitsgrundsatz ergebenden Grenzen überschritten habe. Aufgrund der Bedeutung der betroffenen Grundrechte sowie der Schwere des Eingriffs fordert der Europäische Gerichtshof klare und präzise Regeln für die Tragweite und Anwendung der fraglichen Maßnahme sowie die Aufstellung von Mindestanforderungen, die einen wirksamen Schutz der personenbezogenen Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen.21 Der Schutz des Grundrechts auf Achtung des Privatlebens verlange, dass sich die Ausnahmen vom Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut Notwendige beschränken.22 Dies sei bei der Vorratsdatenspeicherungsrichtlinie nicht gewährleistet. 3.2.1. Fehlende gesetzliche Differenzierungen, Einschränkungen oder Ausnahmen Zunächst moniert das Gericht, dass sich die Vorratsdatenspeicherungsrichtlinie auf alle Personen und alle elektronischen Kommunikationsmittel sowie auf sämtliche Verkehrsdaten erstrecke, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen.23 Die Richtlinie gelte auch für Personen, bei denen keine Anhaltspunkte dafür bestehen, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten stehen könnte. Da die Richtlinie keine Ausnahmen vorsehe , erfasse sie auch Personen, für deren Kommunikationsvorgänge nach den nationalen Rechtsvorschriften ein Berufsgeheimnis gelte. Die Richtlinie verlange keinen Zusammenhang zwischen 18 Roßnagel, Neue Maßstäbe für den Datenschutz in Europa – Folgerungen aus dem EuGH-Urteil zur Vorratsdatenspeicherung , MMR 2014, S. 372 (376). 19 Priebe, Reform der Vorratsdatenspeicherung – strenge Maßstäbe des EuGH, EuZW 2014, S. 456 (458); Kunnert, EuGH zur Vorratsdatenspeicherung: Außer Spesen nichts gewesen?, DUD 2014, S. 774 (782 f.). 20 Roßnagel, Neue Maßstäbe für den Datenschutz in Europa – Folgerungen aus dem EuGH-Urteil zur Vorratsdatenspeicherung , MMR 2014, S. 372 (376); so im Ergebnis auch Kühling, Der Fall der Vorratsdatenspeicherungsrichtlinie und der Aufstieg des EuGH zum Grundrechtsgericht, NVwZ 2014, S. 681 (684). 21 EuGH, Urteil vom 8. April 2014 – C-293/12 und C-594/12, MMR 2014, S. 412 ( 414 - Rn. 54). 22 EuGH, Urteil vom 8. April 2014 – C-293/12 und C-594/12, MMR 2014, S. 412 ( 414 - Rn. 52). 23 EuGH, Urteil vom 8. April 2014 – C-293/12 und C-594/12, MMR 2014, S. 412 ( 414 - Rn. 57 ff.). Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 088/15 Seite 8 den Daten, deren Vorratsspeicherung vorgesehen sei, und einer Bedrohung der öffentlichen Sicherheit . 3.2.2. Fehlende objektive Kriterien für den Zugang und die spätere Nutzung der Daten Weiter kritisiert das Gericht, dass die Vorratsdatenspeicherungsrichtlinie kein objektives Kriterium für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung enthalte.24 So fehlten materiell- und verfahrensrechtliche Voraussetzungen für den Zugang sowie eine Beschränkung auf Zwecke der Verhütung, Feststellung oder Bekämpfung genau abgegrenzter schwerer Straftaten. Insbesondere sehe die Richtlinie keine vorherigen Kontrollen durch ein Gericht oder eine unabhängige Verwaltungsstelle vor. 3.2.3. Fehlende objektive Kriterien bezüglich der Speicherdauer In Bezug auf die Speicherdauer moniert der Europäische Gerichtshof, dass die Richtlinie eine Speicherung von mindestens sechs Monaten vorsehe, dabei jedoch nicht zwischen den verschiedenen Datenkategorien differenziere.25 Zudem könne die Speicherfrist zwischen sechs und 24 Monaten betragen, ohne dass diese auf objektiven Kriterien beruhen müsse, die eine Beschränkung auf das absolut Notwendige gewährleisten. 3.2.4. Fehlende Regelungen zur Datensicherheit Weiter führt das Gericht aus, dass die Vorratsdatenspeicherungsrichtlinie keine hinreichenden Garantien dafür biete, dass die auf Vorrat gespeicherten Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu ihnen und jeder unberechtigten Nutzung geschützt sind.26 Das Gericht stellt dabei vor allem auf zwei Aspekte ab: Zum einen enthalte die Richtlinie keine speziellen Regelungen, die der großen Datenmenge, dem sensiblen Charakter dieser Daten und der Gefahr eines unberechtigten Zugangs zu ihnen angepasst sind. Die Richtlinie gewährleiste auch nicht, dass die Telekommunikationsanbieter durch technische oder organisatorische Maßnahmen für ein besonders hohes Schutz- und Sicherheitsniveau sorgen, sondern gestatte es ihnen, bei der Bestimmung des Sicherheitsniveaus wirtschaftliche Erwägungen zu berücksichtigen. Vor allem gewährleiste die Richtlinie nicht, dass die Daten nach Ablauf ihrer Speicherungsfrist unwiderruflich vernichtet werden. 24 EuGH, Urteil vom 8. April 2014 – C-293/12 und C-594/12, MMR 2014, S. 412 ( 414 f. - Rn. 60 ff.). 25 EuGH, Urteil vom 8. April 2014 – C-293/12 und C-594/12, MMR 2014, S. 412 ( 415 - Rn. 63 f.). 26 EuGH, Urteil vom 8. April 2014 – C-293/12 und C-594/12, MMR 2014, S. 412 ( 415 - Rn. 66 ff.). Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 088/15 Seite 9 Zum anderen moniert der Europäische Gerichtshof, dass die Richtlinie nicht die Speicherung der Daten auf Unionsgebiet vorsehe. So sei nicht vollumfänglich gewährleistet, dass die Einhaltung der Erfordernisse des Datenschutzes und der Datensicherheit durch eine unabhängige Stelle überwacht wird.