Die Vorratsdatenspeicherung

Das sicher am lautesten diskutierte und juristisch am intensivsten untersuchte Instrument der Massenüberwachung ist die Verpflichtung der Telekommunikationsunternehmen zur anlasslosen Speicherung von Telekommunikations- und and anderen Verkehrsdaten wie Standortdaten oder IP-Adressen.

Zentraler Protagonist dieser Saga über die „Vorratsdatenspeicherung“ ist der EuGH. Dieser hatte die Verpflichtung von Telekommunikations-„Providern“ zur Vorratsdatenspeicherung nach der „Vorratsdatenspeicherungs-RL“ (RL 2006/24) im Jahr 2014 für mit Art. 7 und 8 der Charta der Grundrechte der Europäischen Union („EU-GRC“) unvereinbar erklärt (Digital Rights Ireland). Seither hat der EuGH den Mitgliedstaaten in einer Reihe von Urteilen immer weitreichendere Spielräume eingeräumt. Zuletzt hat der Gerichtshof die Vorratsdatenspeicherung von IP-Adressen und die Nutzung der gespeicherten Daten sogar zur Bekämpfung „allgemeiner Straftaten“ für zulässig erklärt.

Für diese Entwicklung wird der EuGH kritisiert. Er habe einen „Schritt nach vorne und zwei Schritte zurück“ gemacht, indem er sich durch Digital Rights Ireland zunächst als Grundrechtsgericht etabliert hat und daraufhin in einer „kopernikanischen Wende“ von seinem liberalen Standpunkt abgerückt ist. Diese Kritik möchte ich nicht gänzlich zurückweisen. Ich meine aber, dass der Richtungswechsel nicht schlicht als Beugung vor dem politischen Druck der Mitgliedstaaten abgetan werden sollte. Er ist vielmehr logische Konsequenz des europäischen Kompetenzzugriffs auf das ursprünglich national vorbehaltene und immer komplexer werdende Sicherheitsrecht.

Der EuGH als „Motor der Integration“ und Grundrechtsgericht?

Wenn man Anfang der 2010er Jahre eine Umfrage unter Juristen und (anderen) Sozialwissenschaftlern gestartet hätte, welches Selbstverständnis den Europäischen Gerichtshof bei seinen Entscheidungen leitet, hätte die Mehrheit wohl das Bild des „Motors der Integration“ bemüht. Mit diesem Bonmot (dazu krit. hier) wurde gerne – leicht kritisch – angemerkt, dass der EuGH den Anwendungsbereich des europäischen Rechts im Zweifel etwas weiter auslegen würde, als es von weniger motivgeleiteten Juristen zu erwarten wäre – vor allem aber wie es manchen Mitgliedstaaten recht wäre.

Mit der Entscheidung zur Vorratsdatenspeicherung-RL (Digital Rights Ireland) im Jahr 2014 nahm der EuGH nach Ansicht vieler Beobachter eine zweite Rolle ein. Anders als das BVerfG vier Jahre zuvor, urteilte der Gerichtshof, dass eine Pflicht privater Anbieter von Telekommunikationsdiensten zur Speicherung bestimmter Verkehrsdaten für sechs Monate und zur Weitergabe dieser Daten an staatliche Sicherheitsbehörden grundsätzlich unverhältnismäßig sei. Diese Entscheidung wurde in Deutschland sehr wohlwollend aufgenommen, waren es doch insbesondere Rechtspolitiker aus dem deutschsprachigen Raum (prominent v. a. die ehemalige Bundesjustizministerin Sabine Leutheusser-Schnarrenberger und ehemaliges Piratenmitglied Patrick Breyer), die die Vorratsdatenspeicherungspflicht wegen des damit einhergehenden Eingriffs in das Telekommunikationsgeheimnis scharf kritisiert hatten. Nach der vorherrschenden Auffassung hatte sich der EuGH mit Digital Rights Ireland als Grundrechtsgericht etabliert, Sogar von einer „Zeitenwende im europäischen Grundrechtsschutz“ war die Rede.

Das Verbot der Vorratsdatenspeicherung und seine Ausnahmen

Die Reaktionen im deutschsprachigen Diskurs auf die folgenden EuGH-Entscheidungen zur Vorratsdatenspeicherung fielen dementsprechend ernüchtert aus. Diese weiteten die Möglichkeiten der nationalen Gesetzgeber zur Einführung von Vorratsdatenspeicherungsregeln sukzessive aus.

Schon in Digital Rights Ireland hatte der EuGH die Zulässigkeit einer begrenzten Vorratsdatenspeicherungspflicht angedeutet. Entscheidend sei nach dem Gerichtshof, dass die gespeicherten Daten potentiell für die Kriminalitätsbekämpfung nutzbar gemacht werden könnten (Rn 59). Damit eröffnete sich für die Mitgliedstaaten ein gewisser Spielraum und sie führten nationale Regeln zur Vorratsdatenspeicherung ein.

Die Anforderungen an eine verhältnismäßige Vorratsdatenspeicherung konkretisierte der EuGH erstmals in der Entscheidung hinsichtlich der britischen und schwedischen Vorratsdatenspeicherungspflicht (Tele2Sverige & Privacy International (2016)) und später hinsichtlich der Regelungen in Frankreich, Belgien und Deutschland (La Quadrature du Net I (2020), Spacenet (2022), und La Quadrature du Net II (2024)), wobei der Spielraum der Mitgliedstaaten sukzessiv ausgedehnt wurde.

Manche hielten die Vorratsdatenspeicherung nach Tele2Sverige für „mausetot“, da die vom EuGH gesetzten Grenzen sehr eng gezogen wurden. Diese Deutung hat sich nicht bewahrheitet, die Vorratsdatenspeicherung ist heute so lebendig wie nie zuvor.

Seit La Quadrature du net I erlaubt der EuGH grundsätzlich die Vorratsdatenspeicherung von IP-Adressen (zunächst allerdings nur zur Bekämpfung schwerer Kriminalität) und die Vorratsdatenspeicherung von Telekommunikationsverkehrsdaten in bestimmten Ausnahmefällen. Zulässig ist danach

(1) die universelle Vorratsdatenspeicherung auf dem gesamten Staatsgebiet, wenn sich der betreffende Mitgliedstaat einer als real und aktuell oder vorhersehbar einzustufenden ernsten Bedrohung für die nationale Sicherheit gegenübersieht,

(2) eine auf ein bestimmtes, besonders kriminalitätsbetroffenes Gebiet bezogene Vorratsdatenspeicherung („targeted retention“) von Telekommunikationsverkehrsdaten auch ohne Vorliegen einer nationalen Bedrohungslage.

Diese Ausnahmemöglichkeiten werden von den Mitgliedstaaten kreativ ausgereizt. Frankreich sieht bis heute eine allgemeine Vorratsdatenspeicherung auf dem gesamten Staatsgebiet vor und argumentiert, dass die vom EuGH geforderte nationale Bedrohungslage durchgehend vorliege, weshalb eine (kurzfristige) Vorratsdatenspeicherungspflicht revolvierend verhängt werden könne. Der französische Verfassungsgerichtshof hat diese Praxis grundsätzlich gebilligt. Dabei stand er unter einigem Druck, da die französische Regierung andernfalls eine Ultra-vires-Kontrolle angestrengt hätte. Belgien stützt die nationale Vorratsdatenspeicherung auf die Befugnis zur „targeted retention“. Das bestimmte, besonders kriminalitätsbetroffene Gebiet, auf das sich die Vorratsdatenspeicherung erstreckt (ohne nationale Bedrohungslage) hat allerdings die gleichen Grenzen wie das belgische Staatsgebiet.

Der EuGH hat die Gegenwehr mancher Mitgliedstaaten gegenüber dem Verbot der Vorratsdatenspeicherung offensichtlich unterschätzt. Wahrscheinlich war dem Gericht nicht bewusst, wie unterschiedlich das Instrument von den Sicherheitsbehörden der Mitgliedstaaten eingesetzt wird. Die französischen Polizeibehörden arbeiten deutlich intensiver mit Verkehrsdaten, als die Deutschen. In über 80 % der Ermittlungen aus den Jahren 2018-2019 haben französische Sicherheitsbehörden laut einer Befragung Verkehrsdaten angefragt (Studie der Kommission, S. 63). Die Auswirkungen eines Verbots der Vorratsdatenspeicherung wären in Frankreich also besonders prägnant.

Sicherheitsrecht zwischen Integration und Grundrechten

Nach Art. 4 Abs. 2 Satz 3 EUV fällt die nationale Sicherheit weiterhin in die alleinige Verantwortung der einzelnen Mitgliedstaaten. Lediglich in bestimmten Kriminalitätsbereichen, die typischerweise eine grenzüberschreitende Natur haben, ist die EU zuständig, aber nicht für die Maßnahmen der Sicherheitsbehörden, sondern für die Festlegung von Straftaten und Strafen. So wurde nach Aufhebung der Vorratsdatenspeicherungs-RL argumentiert, dass die EU-GRC für nationale Pflichten nicht mehr gelten kann, da es gerade kein EU-Recht mehr gab, dass eine Vorratsdatenspeicherung anordnete (England and Wales Court of Appeal, Rn. 72 ff.).

Die Kompetenz der EU-Institutionen für das Sicherheitsrecht folgt daraus, dass Sicherheitsrecht heute primär Informationsrecht ist. Sowohl die Gesetzgebung als auch die Rechtsprechung nutzen dieses Vehikel um auf nationale Ermittlungsmaßnahmen Einfluss zu nehmen.

So stützte der EuGH seine Entscheidungskompetenz in Tele2Sverige (Rn 73 ff.) auf Art. 15 Abs. 1 E-Privacy-RL (2002/58). Danach ist eine Vorratsdatenspeicherung von TK-Verkehrsdaten grundsätzlich unzulässig, es sei denn sie ist für die nationale oder öffentliche Sicherheit notwendig, angemessen und verhältnismäßig. Die Auswirkungen dieser Norm für nationale Vorratsdatenspeicherungsregime wurde in Zweifel gezogen, da die E-Privacy-RL nach Art. 1 Abs. 3 für Maßnahmen im Bereich der öffentlichen Sicherheit nicht gelten soll. Der EuGH war der Auffassung, dass Art. 15 Abs. 1 E-Privacy-RL aber keinen Anwendungsbereich mehr hätte, wenn man aus dieser Norm kein grundsätzliches Verbot nationaler Vorratsdatenspeicherungsregime ableiten würde. Dem wurde wiederum entgegnet, dass der Union die Kompetenz fehlen würde, in Art. 15 Abs. 1 E-Privacy-RL solch ein grundsätzliches Verbot für nationale Regelungen im Bereich des Sicherheitsrechts festzulegen (Wollenschläger/Krönke NJW 2016, 906 (907 f.)). Zu dieser Kompetenzfrage hatte sich der EuGH allerdings schon früh geäußert:

Die Kommission argumentiert stets, dass vorratsmäßig zu speichernden Daten nicht unmittelbar von staatlichen Stellen, sondern von privaten Wirtschaftsunternehmen verarbeitet würden. Daher könne sie auf die Kompetenz zur Harmonisierung der Wirtschaft zurückgreifen (Art. 114 Abs. 1 AEUV). In seiner Entscheidung zum Fluggastdatenabkommen mit den USA verwarf der EuGH diese Argumentation der Kommission im Jahr 2006 zunächst, da es sich bei der Übermittlung um eine Datenverarbeitung handle, die öffentliche Sicherheit und die Tätigkeiten des Staates im strafrechtlichen Bereich betraf (Rn. 67 i. V. m. Rn. 54 ff.). In seiner späteren Entscheidungen zur Kompetenz der EU für die Vorratsdatenspeicherungs-RL (RL 2006/24) schloss sich der EuGH dann aber der Kommission an (Rn 56 ff., dazu krit. Ambos 2009).

Vor diesem Hintergrund erklärt sich, dass der EuGH Art. 15 Abs. 1 E-Privacy-RL für eine rechtmäßige unionsrechtliche Beschränkung nationale Vorratsdatenspeicherungsregime befand. Durch diese Erstreckung des Unionsrecht über das Wirtschafts- bzw. Datenschutzrecht auf nationale Polizeimaßnahmen hat der EuGH sich allerdings in eine Konfliktposition gebracht. Er muss die Polizeiarbeit der Mitgliedstaaten harmonisieren, obwohl er originär nicht für das nationale Sicherheitsrecht zuständig ist.

Sicherheitsrechtliche Systematik als Ausweg

Der EuGH musste aus dieser Situation einen Ausweg finden und hat sich dabei wohl an der Rechtsprechung des BVerfG orientiert. Anstatt einzelne sicherheitsrechtliche Maßnahmen pauschal für unverhältnismäßig zu erklären, wie es der EuGH in Digital Rights Ireland versucht hat, leitet das BVerfG aus dem Grundsatz der Verhältnismäßigkeit konkrete Schwellen und andere Anforderungen für einzelne Eingriffe ab. Das Karlsruher Gericht hat in den letzten Jahren einen ganzen Katalog an Eigenschaften herausgearbeitet, die die Intensität einer Überwachungsmaßnahme ausmachen sollen. Auf dieser Grundlage werden Eingriffe sodann mittels einer recht gefestigten Kasuistik in ein Stufenmodell eingeordnet. Hinzutreten allgemeine Prinzipien, die die unterschiedlichen Befugnisse verschiedener Behörden rechtfertigen und den Datenaustausch einhegen sollen (Informationelles Trennungsprinzip; Grundsatz der hypothetischen Datenneuerhebung). Das ganze System ist so komplex, dass von einem eigenständigen „Sicherheitsverfassungsrecht“ gesprochen wird, das mit einer Verhältnismäßigkeitsprüfung im Sinne einer Rationalitätskontrolle nicht mehr viel gemein hat (dazu Poscher, Hdb. Verfassungsrecht, 2021, § 3 Rn 82). Bei den Entscheidungen (jüngst zum BKAG) handelt es sich vielmehr um „Handlungsanleitungen“ für den Gesetzgeber (so schon 2010 die abw. Meinung von Richter Schluckebier, Rn 326)).

Dieses Vorgehen kann man nun auch beim EuGH beobachten. Die jüngeren Vorratsdatenspeicherungsurteile sind kein Anzeichen für eine Iliberalisierung dessen Rechtsprechung  sondern einer komplexeren Differenzierung (dazu Eskens 2022) Der Gerichtshof ist dazu übergangen, sicherheitsrechtliche Maßnahmen – wie das BVerfG – nach einem Intensitätsstufenmodell zu ordnen und abhängig von der Intensität, konkrete Anforderungen an die Maßnahme zu fordern (dazu übersichtlich hier). Die Massenüberwachung wird nicht verboten, sondern „prozeduralisiert“.

Grundrechtsgericht im Wandel der Zeit

Man kann dem EuGH daher nicht vorwerfen, sich von seiner Rolle als Grundrechtsgericht verabschiedet zu haben. Vielmehr hat sich der EuGH der Herangehensweise der anderen „Grundrechtsgerichte“ im Bereich des Sicherheitsrechts angeschlossen. Gerade als europäisches Gericht kann der EuGH bestimmte Polizeimaßnahmen nicht pauschal verbieten, sondern muss die Komplexität und die Heterogenität der nationalen Sicherheitsbehörden respektieren. Eine Ausweitung der Kompetenz des Gerichts für Maßgaben hinsichtlich des nationalen Sicherheitsrechts wäre andernfalls mit erheblichen Konflikten mit den Mitgliedsstaaten verbunden gewesen, erinnert sei nur an die offene Drohung der französischen Regierung mit einer „ultra-vires-Kontrolle“.

Die Rechtsprechung des EuGH reflektiert daher keinen Wandel des Gerichtshofs hin zu einer grundrechtsfeindlicheren Rechtsauslegung, sondern fußt schlich darauf, dass der EuGH mit den Entwicklungen der Grundrechtsdogmatik – jedenfalls im Bereich des Sicherheitsrechts – Schritt halten musste.