Terrorgefahr und Vorratsdatenspeicherung in Europa: unterschiedlichste nationale Schutzstandards mangels klarer unionsrechtlicher Grenzen
Bereits wenige Tage bevor Europa durch Terrorangriffe in Paris erschüttert wurde, haben sich in Großbritannien, Frankreich und Deutschland bemerkenswerte sicherheitsrechtliche Kurskorrekturen vollzogen. Sie betreffen insbesondere das Instrument der Vorratsdatenspeicherung und gewinnen angesichts der Debatte, welche Lehren wir aus den jüngsten Anschlägen ziehen sollten, enorm an Relevanz.
Vor allem der britische Entwurf eines neuen Überwachungsgesetzes (Investigatory Power Bill) ist spektakulär, da er eine Vorratsdatenspeicherung nicht nur von Verbindungs-, sondern auch von Inhaltsdaten vorsieht. Auch in Frankreich gilt seit Juni 2015 ein Überwachungsgesetz (la loi sur le Renseignement 2015), das lange Speicherfristen und unter Umständen Zugriffe auf die gespeicherten Daten ohne Richtervorbehalt ermöglicht. Ganz aktuell wurde gestern auch in Belgien die Grundlage für eine massive Ausweitung der Internet- und Telefonüberwachung gelegt.
Vergleicht man diese Texte mit dem ebenfalls jüngst in Deutschland verabschiedeten Gesetz zur Vorratsdatenspeicherung, zeigt sich, dass das deutsche Gesetz, obwohl ebenfalls scharf kritisiert, den Sicherheitsbehörden weit weniger weitreichende Eingriffsbefugnisse gibt als die französischen und britischen Texte. Diese divergierenden europäischen Ansätze sind mittelbare Folge begrenzender Rechtsprechung durch das Bundesverfassungsgericht und den EuGH, die die vorherige Rechtslage für grundrechtswidrig erklärt hatten. Gegner der Vorratsdatenspeicherung haben insbesondere das Urteil des EuGH 2014 gefeiert. Die vorgelegten Texte führen nun vor Augen, dass mit dem Urteil zwar die Pflicht der Mitgliedstaaten zur Vorratsdatenspeicherung abgeschafft wurde, dadurch gleichzeitig aber eine Rechtslage entstanden ist, in der nationalstaatlicher Überwachung nur mit Mühe unionsrechtliche Grenzen gezogen werden können und die Mitgliedstaaten Raum für unterschiedlichste Schutzstandards für Überwachungsmaßnahmen haben.
Entwicklung der europäischen Rechtslage
Die europäische Rechtslage zur Vorratsdatenspeicherung hat eine bewegte Geschichte. Ausgangspunkt ist die europäische Richtlinie zur Vorratsdatenspeicherung aus dem Jahr 2006 (2006/24/EG). Diese verlangte von den Mitgliedstaaten, Telekommunikationsanbieter zu verpflichten, Kommunikationsdaten zwischen 6 Monaten und 2 Jahre lang zu speichern, die für die Strafverfolgung genutzt werden können. Dies sollte erstens der Realisierung des Binnenmarktes dienen und Standards harmonisieren und nach Ansicht des EuGH zweitens die „Bekämpfung des internationalen Terrorismus“ sowie die „Bekämpfung schwerer Kriminalität zur Gewährleistung der öffentlichen Sicherheit“ ermöglichen. Deutschland hat diese Richtlinie 2008 umgesetzt.
Die erste entscheidende Zäsur bildet aus deutscher Perspektive schließlich das Urteil des Bundesverfassungsgerichts zur Verfassungsmäßigkeit der Vorratsdatenspeicherung 2010. Das Gericht hatte das deutsche Umsetzungsgesetz damals für unvereinbar mit dem Fernmeldegeheimnis aus Art. 10 Grundgesetz erklärt, die Vorratsdatenspeicherung als solche aber grundsätzlich und unter bestimmten Auflagen für vereinbar mit diesem Grundrecht gehalten. Entscheidender europäischer Wendepunkt war schließlich das Urteil des EuGH aus dem Jahre 2014, das nunmehr auch die europäische Richtlinie zur Vorratsdatenspeicherung für grundrechtswidrig erklärte, weil sie das Recht auf Achtung des Privat- und Familienlebens (Art. 7 EU-Grundrechte-Charta) und das Recht auf Schutz personenbezogener Daten (Art. 8 EU-Grundrechte-Charta) verletze. Auch dieses Urteil schließt eine Vorratsdatenspeicherung jedoch nicht unter allen Umständen aus, sondern verweist den Gesetzgeber darauf, dass derartige Eingriffe nur unter engsten Voraussetzungen zu rechtfertigen sind.
In der Folge existierte in Deutschland bis zum Erlass des jüngsten Gesetzes Anfang November 2015 keinerlei Regelung zur Vorratsdatenspeicherung – vor allem weil das Thema politisch heikel ist. Die EU-Kommission verklagte Deutschland daraufhin wegen Verletzung der europäischen Verträge.
In Großbritannien wurde dagegen bereits wenige Monate nach dem Urteil des EuGH 2014 ein neues Gesetz zur Vorratsdatenspeicherung im Wege einer „Notfallgesetzgebung“ erlassen (Data Retention and Investigatory Powers Act), das der britische High Court im Juli 2015 ebenfalls für rechtswidrig erklärt hat. In der Folge unternahm Großbritannien in der Zwischenzeit entscheidende Schritte in Richtung eines neuen Überwachungsgesetzes. Anfang November 2015 legte die britische Innenministerin Theresa May einen Gesetzentwurf für ein Überwachungsgesetz (Investigatory Power Bill) vor, der nun außerparlamentarisch beraten und dem Parlament ursprünglich im nächsten Frühjahr in überarbeiteter Fassung vorgelegt werden soll, wobei angesichts der jüngsten Ereignisse in Paris bereits eine beschleunigte Prozedur diskutiert wird.
Auch die französische Rechtslage hat sich im Laufe dieses Jahres vor allem in Reaktion auf die Anschläge in Paris im Januar verschärft, wobei der französische Conseil Constitutionnel das Gesetz nur geringfügig abgeschwächt hat.
Divergenz politischer Kulturen und rechtlicher Schutzstandards in Europa
Bemerkenswert ist, dass die Ermächtigungen der Sicherheitsbehörden nach dem jüngst verabschiedeten deutschen Gesetz, dem französischen Gesetz und dem britischen Entwurf signifikant unterschiedlich weit reichen. Und das, obwohl sie sich im Spannungsfeld der gleichen rechtlichen Grenzen bewegen: neben dem jeweiligen nationalen Verfassungsrecht nämlich insbesondere den Europäischen Grundrechten und der Europäischen Menschenrechtskonvention.
Während das deutsche und französische Gesetz die Vorratsdatenspeicherung im Grundsatz auf Verbindungsdaten wie Sender, Empfänger, Dauer und Standorten von Kommunikation beschränken, bezieht der britische Gesetzesentwurf teilweise auch Kommunikationsinhalte ein und erlaubt zudem das Hacken von Privatcomputern. Der Entwurf sieht konkret vor, dass Internetanbieter alle Internetseiten speichern müssen, die ihre Nutzer besucht haben (wobei nicht alle Unterseiten innerhalb der besuchten Webseiten erfasst werden sollen). Auch die Speicherfristen unterscheiden sich erheblich: während die Daten nach dem deutschen Gesetz maximal zehn, bezüglich Standortdaten vier Wochen gespeichert werden können, sieht der britische Text eine Speicherfrist von zwölf Monaten vor. In Frankreich können Metadaten gar bis zu vier Jahre gespeichert werden.
Was den staatlichen Zugriff auf die gespeicherten Daten betrifft, ist in dem britischen Entwurf in Folge des Urteils des britischen High Courts aus dem Sommer 2015 eine doppelte Kontrolle durch Gegenzeichnung des Staatssekretärs und eines „Judicial Commissioners“ vorgesehen, dessen Funktion von einem hochrangigen Richter ausgeübt werden soll. Auch das deutsche Gesetz schreibt einen Richtervorbehalt vor. Die neue französische Rechtslage hingegen erlaubt Überwachungsmaßnahmen unmittelbar durch die Regierung in Zusammenarbeit mit der „Nationalen Kommission der Überwachungstechniken“ (CNCTR).
Die Divergenzen zwischen deutschem, britischem und französischem Text sind also eklatant. Und auch wenn etwa der britische Entwurf noch etwas abgeschwächt werden sollte, wird die endgültige Regelung weit umfassendere Grundrechtsbeeinträchtigungen vorsehen als beispielsweise das deutsche Gesetz. Und das, obwohl viele auch die deutsche Regelung – um keinen falschen Eindruck entstehen zu lassen – als sehr eingriffsintensiv bewerten. Neben oppositionellen Stimmen hat beispielsweise auch der wissenschaftliche Dienst des Bundestages bereits darauf hingewiesen, dass das Gesetz verfassungs- und europarechtswidrig sein könnte.
Der politische Grund, warum die verschiedenen europäischen Regelungen so weit auseinander liegen, besteht unter anderem in grundlegenden Kulturunterschieden und nationalen Terrorerfahrungen. Während in Deutschland die Skepsis gegenüber staatlicher Überwachung schon seit Einführung des ersten Gesetzes zur Vorratsdatenspeicherung groß ist, herrscht insbesondere im anglo-amerikanischen Raum eine andere politische Kultur; Überwachungskameras sind im Straßenbild weit verbreitet und den Geheimdiensten wird tendenziell eher zugetraut, zum Wohl der Bürger zu arbeiten.
Europäischer Rechtsrahmen für nationale Regelungen zur Vorratsdatenspeicherung
Werden derartige Divergenzen juristisch erst durch eine komplexe europäische Rechtslage ermöglicht? Solange die europäische Richtlinie zur Vorratsdatenspeicherung galt, waren die Mitgliedstaaten verpflichtet, die Vorratsdatenspeicherung nach bestimmen unionsrechtlichen Vorgaben zu regeln. Diese Pflicht besteht nun nicht mehr, was von Skeptikern nach dem Urteil des EuGH begrüßt wurde. Gleichzeitig legen die beschriebenen aktuellen sicherheitsrechtlichen Entwicklungen nahe, dass aus dem Wegfall der Richtlinie auch eine Unklarheit folgt, inwieweit die Mitgliedstaaten bei Regelungen zur Vorratsdatenspeicherung noch an die unionsrechtlichen Grenzen gebunden sind.
Grundlage des Problems ist Art. 51 EU-Grundrechte-Charta, der die europäischen Grundrechte für Mitgliedstaaten nur bei Durchführung von Unionsrecht für anwendbar erklärt. Wann genau Mitgliedstaaten Unionsrecht „durchführen“ ist unklar und vor allem zwischen EuGH und BVerfG umstritten. In seinem Åkerberg Fransson-Urteil führt der EuGH hierzu aus, dass europäische Grundrechte im Anwendungsbereich von Unionsrecht grundsätzlich gelten und sich der Schutzstandard nur in nicht vollständig unionsrechtlich determinierten Bereichen nach nationalen Grundrechten richten kann (dazu ausführlich Hannes Rathke).
Welchen Einfluss hat das Unionsrecht also gegenwärtig auf nationale Regelungen zur Vorratsdatenspeicherung? Spezifisches Sekundärrecht existiert wie gesagt nicht mehr. Blickt man in das sonstige Unionsrecht, lassen sich jedoch tatsächlich Vorgaben ausmachen, wenngleich diese nicht unmittelbar auf die Vorratsdatenspeicherung gerichtet sind: die allgemeine Datenschutzrichtlinie (95/46/EG) und die Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) (vgl. insbes. Mattias Wendel, Reinhard Priebe, Alexander Roßnagel).
Die Datenschutz-Richtlinie für elektronische Kommunikation (und parallel auch die allgem. Datenschutzrichtlinie) bestimmt in Art. 15, dass die Vertraulichkeit der Kommunikation u.a. aus Gründen der nationalen und öffentlichen Sicherheit und der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten beschränkt werden kann, soweit dies „in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig“ ist. Sie sieht sogar ausdrücklich vor, dass „Daten aus den in diesem Absatz aufgeführten Gründen während einer begrenzten Zeit aufbewahrt werden [können]“ und „[diese] Maßnahmen den allgemeinen Grundsätzen des Gemeinschaftsrechts einschließlich den in Artikel 6 Absätze 1 und 2 des Vertrags über die Europäische Union niedergelegten Grundsätzen [d.h. der EU-Grundrechte-Charta und der EMRK] entsprechen [müssen].“ Unter diesen Umständen scheint es also, als könnten die vom EuGH festgelegten Anforderungen an eine grundrechtskonforme Vorratsdatenspeicherung auf nationale Regelungen durchschlagen.
Wie fragil diese juristische Konstruktion trotzdem ist, zeigt insbesondere die Bereichsausnahme aus Art. 1 Absatz 3 der Richtlinie: dort wird kurzerhand der gesamte Bereich der inneren Sicherheit und des Strafrechts wieder dem Anwendungsbereich der Richtlinie entzogen. Das bedeutet also, dass Maßnahmen nach Art. 15 der Richtlinie zwar durch solche Gründe gerechtfertigt werden können, die Richtlinie aber ohnehin nicht anwendbar ist, wenn die nationale Regelung unmittelbar in diesen Bereich – und nicht etwa den Bereich des Datenschutzes – fällt. Wie weit aber ist diese Ausnahme zu verstehen und wird die Vorratsdatenspeicherung momentan nicht gerade als Inbegriff des Schutzes nationaler Sicherheit diskutiert und eingesetzt?
Diese Erwägungen führen uns vor Augen, dass es nach der gegenwärtigen europäischen Rechtslage auch aus Sicht von Skeptikern staatlicher Überwachung keineswegs nur positiv ist, dass das Unionsrecht neben einer Pflicht zur Vorratsdatenspeicherung auch sonst keine unmittelbar auf die Vorratsdatenspeicherung bezogenen Vorgaben mehr enthält. Im Gegenteil könnten dadurch die durch den EuGH entwickelten Anforderungen unter Umständen ausgehebelt und den Mitgliedstaaten große Spielräume bei der Entwicklung eigener Ansätze gegeben werden. Das ist bedauerlich, erstens weil nationale Regelungen – wie insbesondere die geplanten britischen – dadurch entgegen der Intention des EuGH leicht ins datenschutzrechtlich bedenkliche Extrem tendieren können und es zweitens an Rechtseinheit innerhalb der EU fehlt, die sowohl im Interesse des Binnenmarktes als auch der Sicherheitsbehörden wäre, die sich bei europaweiten Ermittlungen mit einem Flickenteppich an Regelungen konfrontiert sehen.
Was das UK betrifft, wurde der Text von der Aktualität überholt: gestern hat der Court of Appeal über das Rechtsmittel gegen das High Court-Urteil entschieden und beschlossen, ein Vorabentscheidungsersuchen an den EuGH zu richten; mehr dazu: http://blog.lehofer.at/2015/11/Davis.html
Zur Rechtseinheit in der EU wird der EuGH übrigens auch aufgrund des schon anhängigen Vorabentscheidungsersuchens C-203/15 Tele2 Sverige beitragen können: http://curia.europa.eu/juris/liste.jsf?language=de&num=C-203/15
Sehr viele der aufgeworfenen Fragen dürften in diesem Verfahren geklärt werden:
http://curia.europa.eu/juris/document/document.jsf?text=&docid=165124&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=34311