09 April 2014

Wider die Mär vom Grundrechtsblinden: Der EuGH und die Vorratsdatenspeicherung

Er kann es also doch. Dieser Gedanke mag zahlreichen Beobachtern in aufatmender Erleichterung durch den Kopf gegangen sein, als der Europäische Gerichtshof gestern Vormittag die Richtlinie über die Vorratsdatenspeicherung in einem lange erwarteten Grundsatzurteil für nichtig erklärte. Von einer „Zeitenwende im europäischen Grundrechtsschutz“ ist die Rede, mit Blick auf das Verhältnis von Luxemburg, Karlsruhe und Straßburg gar von einer „grund- und bürgerrechtliche[n] Dreifaltigkeit“.

Während die einen das „Ende der Maßlosigkeit“ bejubeln, warnen die anderen vor einer Gefährdung effizienter Strafverfolgung. Im Spannungsfeld von Freiheit und Sicherheit sind solche Deutungsunterschiede selbstredend kein Novum. Die auf Echtzeit beschleunigte Berichterstattung wäre aber nicht sie selbst, ließe sie die Gelegenheit verstreichen, das Urteil noch vor Veröffentlichung der Entscheidungsgründe sogleich zum datenschutzrechtlichen Fanal zu überhöhen, dessen Strahlkraft dann dramaturgisch von der ebenso zugespitzten Wahrnehmung eines „schwarzen Tages“ abgesetzt wird. In dieser Schwarz-Weiß-Malerei im Dienste einer offenkundig überreizten Medienlandschaft „kuscht“ ein Justizminister „vor der Netzpropaganda“, wenn er erklärt, durch das Urteil sei die Grundlage zur Umsetzungsvereinbarung im Koalitionsvertrag entfallen. Und die Netzgemeinde tritt ihrerseits im Kampf gegen den „Zombie“ der Vorratsdatenspeicherung gegen „VDS-fixierte Kräfte in Politik und Behörden“ an. Verloren geht in diesen Ausschlägen medialer Dramatisierungsamplituden genau das, was die Luxemburger Entscheidung in ihrem Kern auszeichnet: das richtige Maß.

Meilenstein für den europäischen Grundrechtsschutz

Das Urteil ist ein Meilenstein für den europäischen Grundrechtsschutz. Mit ihm tritt die Große Kammer dem Narrativ vom grundrechtsblinden EuGH entgegen. Dieser Erzählung zufolge behandelt Luxemburg den Schutz der Grundrechte in eher stiefmütterlicher Weise, was sich insbesondere in einer Nachrangigkeit gegenüber den Marktfreiheiten manifestiere. Freilich vermochte dieser Vorwurf schon früher nicht zu verfangen. Im datenschutzrechtlichen Bereich zeigen dies nicht zuletzt die Luxemburger Präjudizien, auf denen die jetzige Entscheidung erkennbar aufbaut (vgl. nur Rn. 29, 33, 46, 52). Klar ist im Ergebnis zudem: Etwaige, infolge der Ungültigkeit der Richtlinie u.U. verstärkt wieder auflebende Wettbewerbsverzerrungen durch unterschiedlicher Regelungslagen über Speicherpflichten in den EU-Mitgliedstaaten sind hinzunehmen – notfalls für lange Zeit. Vor allem die systematische und substanziell gehaltvolle Grundrechtsprüfung aber ist es, mit der das neue Grundsatzurteil dem Vorwurf methodischer und argumentativer Beliebigkeit deutlich begegnet.

Besondere Schärfe gewinnt der Urteilsspruch durch seine Tenorierung: Der EuGH erklärt die Richtlinie für nichtig, ohne dabei die Wirkung des Urteils zeitlich aufzuschieben und dem europäischen Gesetzgeber eine angemessene Zeitspanne zur Neuregelung einzuräumen. Der Gerichtshof geht damit über die Schlussanträge des Generalanwaltes hinaus, der im Dezember 2013 trotz eines bemerkenswert deutlichen Plädoyers für die Ungültigkeit der Richtlinie gerade einen solchen zeitlichen Aufschub vorgeschlagen hatte. Dass der EuGH dem nicht folgt ist die eigentliche Sensation des Urteils. Die Rechtsfolge gründet letztlich in der Schwere der durch die Richtlinie begründeten Grundrechtsverstöße und ist daher vollkommen zu Recht überwiegend positiv aufgenommen worden. Mit dem Urteil ist überdies das Vertragsverletzungsverfahren gegen Deutschland letztlich vom Tisch.

Systematische und eingehende Grundrechtsprüfung durch den EuGH

In der Sache prüft der EuGH die Kernvorschriften der Richtlinie allein am Maßstab des Rechts auf Achtung des Privatlebens (Art. 7 GRCh) sowie des Schutzes personenbezogener Daten (Art. 8 GRCh), auch wenn er die Meinungsfreiheit (Art. 11 GRCh) ebenfalls für grundsätzlich einschlägig erachtet. Der Generalanwalt hatte Art. 7 und 8 GRCh noch in einer durchaus verwegenen, geradezu ins Philosophische enteilenden Argumentation in ein Stufenverhältnis zugunsten von Art. 7 GRCh gerückt (Schlussanträge, Rn. 65 f.). Demgegenüber prüft der Gerichtshof in Anknüpfung an seine bisherige Rechtsprechung Art. 7 und 8 GRCh zusammen bzw. nacheinander. Den inneren Zusammenhang zwischen beiden Normen behält er dabei stets im Blick (Rn. 29 f., 53). Die Anwendbarkeit des Rechts auf Privatleben folgt aus dem Umstand, dass aus der Gesamtheit der auf Vorrat gespeicherten (Verbindungs-)Daten präzise Schlüsse auf das Privatleben des Einzelnen gezogen werden können, „etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren“ (Rn. 27). Die Verpflichtung privater Telekommunikationsanbieter zur Vorratsdatenspeicherung betrifft das Privatleben insoweit in unmittelbarer Weise. Als Prozess der Datenverarbeitung fällt die Vorratsdatenspeicherung zugleich unter Art. 8 GRCh und muss die darin vorgegebenen speziellen Erfordernisse erfüllen.

Zutreffend qualifiziert der EuGH den Eingriff im Gefolge des Generalanwalts als Eingriff „von großem Ausmaß“ und von „besonders schwerwiegend[er]“ Natur (Rn. 37). Auch unterstreicht der Gerichtshof in begrüßenswerter Deutlichkeit, dass die  Vorratsdatenspeicherung geeignet ist, bei den Nutzern ein Gefühl beständiger Überwachung hervorzurufen.

Die Prüfung der Verhältnismäßigkeit, der eine Prüfung der Verletzung des (hier nicht als berührt angesehenen) grundrechtlichen Wesensgehalts vorangestellt ist, besticht in mehrfacher Hinsicht. Überzeugend begründet der EuGH zunächst, warum der Gestaltungsspielraum des europäischen Gesetzgebers vorliegend vermindert, die Kontrolldichte der gerichtlichen Grundrechtsprüfung dementsprechend erhöht ist (Rn. 48 a.E.). Das hat namentlich Auswirkungen auf die Prüfung der Erforderlichkeit, die nach der Systematik des EuGH stets zugleich Elemente der Abwägung enthält. Unter Rückgriff auf die einschlägige Rechtsprechung des EGMR arbeitet der EuGH maßstabbildend heraus, dass der grundrechtsbeschränkende Rechtsakt des Unionsrechts „klare und präzise Regeln für die Tragweite und die Anwendung“ der fraglichen Maßnahme vorsehen und insbesondere Mindestanforderungen zum Schutz vor Missbrauch und unberechtigtem Datenzugang aufstellen muss. Insbesondere sei sicherzustellen, dass sich Eingriffe auf das „absolut Notwendige“ beschränkten (Rn. 52, 54).

In einer eingehenden und intensiven Prüfung legt der EuGH sodann dar, weshalb die Richtlinie diese zentrale Vorgabe in vielfältiger Weise verfehlt. Drei Argumentationsstränge lassen sich identifizieren: erstens die personelle und kommunikationstechnische Streubreite der Vorratsdatenspeicherung (Rn. 57-59); zweitens das Fehlen restriktiver Voraussetzungen materiell- und verfahrensrechtlicher Art für den späteren behördlichen Zugriff sowie die daran anknüpfende Verwendung der Daten (Rn. 60-62); drittens die Dauer der Speicherung (Rn. 63-65). Allein mit Blick auf Art. 8 GRCh rügt der Gerichtshof zudem das Fehlen hinreichender Schutzvorschriften zur Vermeidung von Missbrauchsfällen, wie etwa Vorschriften zur Sicherstellung der unwiderruflichen Löschung nach Fristablauf. Zudem hätte die Richtlinie eine Speicherung im Unionsgebiet anordnen müssen, um eine datenschutzrechtliche Überwachung durch eine unabhängige Stelle zu garantieren – zugleich ein deutliches Signal gegenüber den USA mit Blick auf die NSA-Affäre.

Speziell für die Kontrolle von Datenzugriff und -verwendung hätten dem EuGH – wie in diesem Blog bereits eingehend erörtert – prinzipiell drei Möglichkeiten zur Verfügung gestanden: erstens die Akzeptanz des der Richtlinie zugrunde gelegten Modells, wonach die Regelung von Datenzugriff und -verwendung den nationalen Parlamenten überlassen wird, die ihrerseits ggf. der ausschließlichen Kontrolle nationaler Verfassungsgerichte unterliegen; zweitens die an die Einstufung der nationalen Datenzugriffsregeln als Durchführung des Unionsrechts geknüpfte Erstreckung der europäischen Grundrechtskontrolle auf die nationalen Vorschriften (was zugleich eine föderalen Lesart von Art. 52 Abs. 1 GRCh voraussetzt); drittens der nunmehr eingeschlagene und vom Generalanwalt dem Ergebnis nach vorgezeichnete Weg, den europäischen Gesetzgeber durch eine Kopplung von Speicherpflicht und Mindestvorschriften über Datenzugriff und -verwendung in die Pflicht zu nehmen.

Diese Lösung überzeugt zwar insoweit, als sie den den Eingriff normierenden europäischen Gesetzgeber nicht aus der Verantwortung für die notwendigen rechtsstaatlichen Einhegungen entlässt. Allerdings liefert der EuGH keine rechtliche Begründung, warum er genau diesem Modell folgt. Für den Generalanwalt war insoweit Art. 52 Abs. 1 GRCh das entscheidende rechtliche Scharnier. Diesen Ansatz übernimmt der Gerichtshof indes nicht, jedenfalls nicht ausdrücklich. Umgekehrt wirft der eingeschlagene Weg zugleich eine grundlegende kompetenzrechtliche Frage auf. Denn er ordnet die Regelung von Datenzugriff und -verwendung dem Verantwortungsbereich des europäischen Gesetzgebers zu, ohne hinreichend zu verdeutlichen, worauf dessen Gesetzgebungskompetenz eigentlich fußen soll. Darin liegt zugleich ein potenzieller Paradigmenwechsel zum ersten Vorratsdaten-Urteil aus dem Jahr 2009.

Offenes

In seinem Vorratsdaten-Urteil von 2009, das aus prozessrechtlichen Gründen auf die kompetenzrechtliche Frage beschränkt blieb, entschied der EuGH dass die Richtlinie noch auf die Kompetenz zur Binnenmarktharmonisierung aus Art. 114 Abs. 1 AEUV gestützt werden dürfe, weil sich die Bestimmungen der Richtlinie „im Wesentlichen auf die Tätigkeiten der Diensteanbieter“ beschränkten und gerade „nicht den Zugang zu den Daten oder deren Nutzung durch die Polizei- und Justizbehörden der Mitgliedstaaten“ beträfen (dort Rn. 80-93). Soweit der EuGH nun aber genau das Fehlen solcher Zugangs- und Nutzungsregelungen des Unionsgesetzgebers bemängelt, stellt sich die Frage, ob der Unionsgesetzgeber zu ihrem Erlass überhaupt befugt wäre. Der Entscheidung von 2009 lässt sich jedenfalls im Umkehrschluss entnehmen, dass derartige Vorschriften nicht auf Art. 114 Abs. 1 AEUV gestützt werden dürfen. Auch aus den Grundrechten darf wegen Art. 51 Abs. 2 GRCh nicht auf eine Rechtssetzungskompetenz der Union geschlossen werden.

Welche Kompetenzgrundlage aber in Betracht käme, darüber schweigt das neue Urteil. Art. 83 Abs. 1 AEUV etwa dürfte ausfallen, bezieht er sich ausweislich seines Wortlautes doch allein auf „Mindestvorschriften zur Festlegung von Straftaten und Strafen in Bereichen besonders schwerer Kriminalität“. In Betracht käme allerdings Art. 87 Abs. 2 lit. a) AEUV, der zum Erlass von Rechtsakten zum „Einholen, Speichern, Verarbeiten, Analysieren und Austauschen sachdienlicher Informationen“ für die Zwecke der polizeilichen Zusammenarbeit ermächtigt. Der Vorgänger dieser Norm (Art. 30 EU-Nizza) wurde während des Entstehungsprozesses der Richtlinie als Alternative zu Art. 114 Abs. 1 AEUV diskutiert. Wollte man eine neue Richtlinie auf Art. 87 Abs. 2 lit. a) AEUV stützen, müsste man allerdings eine tragfähige Begründung liefern, weshalb die Neuregeln gerade der polizeilichen Zusammenarbeit, d.h. in spezifischer Weise der transnationalen Kooperation dienen sollten. Schließlich verbleibt (ergänzend) Art. 352 AEUV, dessen Anwendung allerdings Einstimmigkeit im Rat und in Deutschland nach dem BVerfG zudem ein Gesetz nach Art. 23 Abs. 1 GG voraussetzt.

Sollte keine Kompetenzgrundlage einschlägig sein, würde sich die Engführung der Entscheidung aus dem Jahr 2009 im Rückblick als besonders folgenreich erweisen. Dann hätte der EuGH aus prozessrechtlichen Gründen einen grundrechtswidrigen Zustand perpetuiert, der aus kompetenzrechtlichen Gründen auf Unionsebene nicht zu kompensieren wäre. Mit Stimmen in der Literatur ließe sich mit Blick auf solche Gefährdungslagen fragen, ob nicht jedenfalls im Falle einer im Raum stehenden schweren Grundrechtsverletzung Art. 263 Abs. 2 AEUV erweitert in dem Sinne auszulegen wäre, dass er die Einbeziehung eines ausdrücklich nicht klagegegenständlichen Klagegrundes ermöglichte, ja verlangte.

Eine der auffallendsten Besonderheiten der Entscheidung besteht darin, dass der EuGH die Abschaffung von Wettbewerbsverzerrungen, eines der erklärten Hauptziele der Richtlinie, nicht ausdrücklich in die Grundrechtsprüfung einbezieht. Mit Blick auf die legitimen Ziele rekurriert der EuGH ausschließlich auf die Bekämpfung von internationalem Terrorismus und schwerer Kriminalität. Anders gewendet, die zur Eingriffsrechtfertigung angeführten Belange liegen jenseits des kompetenzrechtlich durch Art. 114 Abs. 1 AEUV abgesteckten Rahmens. Insoweit ist dem Urteil implizit zu entnehmen, dass die für die Rechtfertigung eines gesetzlich begründeten Grundrechtseingriffs heranziehbaren Belange nicht auf die den Rechtsakt kompetenziell tragenden Zielsetzungen reduziert werden dürfen. Dem entspricht, dass Art. 52 Abs. 1 S. 2 GRCh in allgemeiner Weise von den durch die „Union anerkannten dem Gemeinwohl dienenden Zielsetzungen“ spricht. Zu weiterführenden Gedanken grundsätzlicher Art lädt überdies eine Aussage des EuGH ein, welche die Erwägungen zu den legitimen Zielen abrundet: Danach sei „festzustellen, dass nach Art. 6 der Charta jeder Mensch nicht nur das Recht auf Freiheit, sondern auch auf Sicherheit hat“ (Rn. 42 a.E.).

Offen bleibt auf Schrankenebene schließlich das Verhältnis von Art. 7 und 8 GRCh. Während das Urteil insoweit auf Ebene des Schutzbereiches zur Klärung beiträgt, gelingt eine solche Präzisierung hinsichtlich der Schranken nicht. Art. 7 GRCh bildet das Recht aus Art. 8 EMRK nach, was über Art. 52 Abs. 3 S. 1, Abs. 7 GRCh zu einem entsprechenden Schrankentransfer einschließlich der Rechtsprechung des EGMR führen müsste. Demgegenüber sieht Art. 8 Abs. 2 S. 1 HS 2 GRCh eine spezielle Konkretisierung des allgemeinen Gesetzesvorbehalts vor. Der EuGH geht auf diesen Unterschied nicht ein. Der Dogmatiker mag dies bedauern. Gleichwohl wäre es verfehlt, den Urteilen des EuGH einen Grad an dogmatischer Strukturierung und Durchdringung abzuverlangen, wie er sich in der zweifelsfrei glanzvollen Grundrechtsprechung des BVerfG herausgebildet hat.

Klares Signal im europäischen Grundrechtsverbund

Das Urteil des EuGH setzt ein klares Signal im europäischen Grundrechtsverbund. Insbesondere in Karlsruhe dürfte die Entscheidung aufmerksam registriert worden sein. Bekanntlich hatte der Erste Senat des BVerfG im Jahr 2010 das deutsche Umsetzungsgesetz zur Vorratsdatenspeicherung in einer Grundsatzentscheidung für verfassungswidrig erklärt. Die darin entwickelte Argumentation hat merklich die Schlussanträge des Generalanwaltes beeinflusst und liegt substanziell im Wesentlichen auf einer Linie mit den Kernaussagen des EuGH.

Gleichwohl vermied es Karlsruhe, dem EuGH eine Frage im Wege des Vorabentscheidungsverfahrens vorzulegen. Das ist insoweit schade, als das Verfahren zur Vorratsdatenspeicherung einen ungleich geeigneteren Rahmen für eine Vorlage geboten hätte als der in den prozessualen Rahmen einer hochgradig problematischen prinzipalen Ultra-vires-Kontrolle gebettete Vorlagebeschluss des Zweiten Senats in Sachen OMT. Eine Vorlage lehnte der Erste Senat in seinem Urteil von 2010 mit der Begründung ab, dass er die nationale Grundrechtskontrolle allein auf die durch die Richtlinie verbliebenen Umsetzungsspielräume erstrecke. Die Richtlinie könne dabei ohne Verstoß gegen die Grundrechte des GG umgesetzt werden. Dieser sichtbar vom Bemühen um eine Trennung beider Grundrechtssphären getragene Ansatz stützt sich gerade auf den Umstand, dass die Regelungen der Richtlinie „weder die Frage des Zugangs zu den Daten durch die zuständigen nationalen Strafverfolgungsbehörden noch die Frage der Verwendung und des Austausches dieser Daten zwischen diesen Behörden“ harmonisieren (dort Rn. 186). Nach dieser Konstruktion kommt es auf Auslegung und Gültigkeit des Unionsrechts erst gar nicht an, weshalb einer Vorlage bereits die Entscheidungserheblichkeit fehlen würde. Einen ganz ähnlichen Argumentationsansatz verfolgt übrigens das tschechisches VerfG. Das Modell der Sphärentrennung ist durch die EuGH-Entscheidung nunmehr unter Druck geraten.

Der dem EuGH-Urteil u.a. zugrunde liegende Vorlagebeschluss des österreichischen VerfGH liefert demgegenüber ein gelungenes Beispiel für die potenzielle Wirkkraft einer Vorlage durch ein Verfassungsgericht. Die Rechtsprechung des österreichischen Verfassungsgerichtshof ist dabei in ihrem Ausgangspunkt allerdings von vornherein von einer ungleich stärkeren Idee der Verzahnung staatlichen und europäischen Grundrechtsschutzes geprägt als die auf Sphärentrennung angelegte Rechtsprechung des BVerfG. Es ist sicher auch kein Zufall, dass führende Autoren im Bereich des europäischen Grundrechteschutzes gerade am VerfGH angesiedelt sind.

Auch nach Straßburg sendet der EuGH ein Signal, freilich altbewährt und mittlerweile über Art. 52 Abs. 3 rechtsnormativ abgestützt: Die einschlägige Rechtsprechung des EGMR wird in die Prüfung des EuGH eingeflochten. Dies stärkt den europäischen Grundrechtsverbund zwischen Karlsruhe, Luxemburg und Straßburg, ob man ihm nun die religiöse Weihe einer Dreifaltigkeit antragen möchte oder nicht.

Das Ende der Vorratsdatenspeicherung?

Bedeutet die Nichtigerklärung der Richtlinie nun das Ende der Vorratsdatenspeicherung? Dies ist in zweierlei Hinsicht nicht der Fall. Zum einen erklärt der EuGH die Vorratsdatenspeicherung nicht umfänglich für grundrechtswidrig. So kompetenzrechtlich überhaupt möglich, obliegt es dem europäischen Gesetzgeber, eine den gerichtlichen Vorgaben entsprechende Neuauflage zu verabschieden. Die Europawahlen stehen bald ins Haus.

Zum anderen zieht der Wegfall der europarechtlichen Umsetzungsverpflichtung auch kein an die Mitgliedstaaten adressiertes Verbot der Vorratsdatenspeicherung nach sich. Anders als im Bereich ausschließlicher Unionskompetenzen entfaltet die Nichttätigkeit der Union hier keine Sperrwirkung. Dementsprechend wären die nationalen Gesetzgeber – in den Grenzen nationalen Verfassungsrechts – auch nicht gehindert, bestehende Regelungen über die Vorratsdatenspeicherung aufrechtzuerhalten. Allerdings lebt durch den Wegfall der Richtlinie 2006/24 das allgemeine Datenschutzregime (insbesondere die RL 95/46 und die RL 2002/58) insoweit wieder auf, als es vormals durch die spezielleren Regelungen der Richtlinie über die Vorratsdatenspeicherung verdrängt wurde. Mit diesem europarechtlichen Datenschutzregime einher geht ein allgemeines Erfordernis der Verhältnismäßigkeit, auf das die Grundwertungen des EuGH-Urteils durchschlagen könnten. Dieses Erfordernis reicht aber wiederum nur so weit wie der Anwendungsbereich des europäischen Datenschutzregimes. Soweit die innerstaatlichen Regelungen zur Vorratsdatenspeicherung dem Bereich der inneren Sicherheit zuzuordnen sind, dürften dann die Ausnahmen vom Anwendungsbereich einschlägig sein (Art. 3 Abs. 2 RL 95/46 und Art. 1 Abs. 3 RL 2002/58), über deren Reichweite im Lic