EuGH kippt Richtlinie zur Vorratsdatenspeicherung

Der Europäische Gerichtshof in Luxemburg hat mit seinem heutigen Urteil (PDF) die Richtlinie zur Vorratsdatenspeicherung (2006/24/EG) für ungültig erklärt. Er begründet seine Entscheidung damit, dass sie einen besonders schwerwiegenden Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten beinhaltet, der sich nicht auf das absolut Notwendige beschränkt.

Der Oberste Gerichtshof Österreichs sowie der irische High Court hatten sich in zwei Rechtssachen (C-293/12 und C-594/12) mit einem Vorabentscheidungsersuchen an die EU gewandt, um die Gültigkeit der 2006 erlassenen Richtlinie prüfen zu lassen. Gerichte der Mitgliedstaaten können auf diesem Weg in einem bei ihnen anhängigen Rechtsstreit dem Europäischen Gerichtshof Fragen nach der Auslegung des Unionsrechts vorlegen. Der EuGH entscheidet allerdings nicht über den nationalen Rechtsstreit.

Bei seiner Prüfung der Richtlinie kam das oberste europäische Gericht zu dem Ergebnis, „dass der Unionsgesetzgeber beim Erlass der Richtlinie über die Vorratsspeicherung von Daten die Grenzen überschritten hat, die er zur Wahrung des Grundsatzes der Verhältnismäßigkeit einhalten musste“. Zwar sei die nach der Richtlinie vorgeschriebene Vorratsspeicherung der Daten zur Erreichung des mit ihr verfolgten Ziels – also der Verhütung, Ermittlung, Feststellung und Verfolgung von schweren Straftaten wie organisierter Kriminalität und Terrorismus – geeignet, doch enthalte sie keine Bestimmungen, die gewährleisten, dass sich der Eingriff in die fraglichen Grundrechte tatsächlich auf das absolut Notwendige beschränke.

Denn erstens erstrecke sich die Richtlinie generell auf sämtliche Personen, elektronische Kommunikationsmittel und Verkehrdaten, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen, so der EuGH. Zweitens sehe die Richtlinie kein objektives Kriterium vor, das es ermögliche, den Zugang der zuständigen nationalen Behörden zu den Daten und deren Nutzung zwecks Verhütung, Feststellung oder strafrechtlicher Verfolgung auf Straftaten zu beschränken, die im Hinblick auf das Ausmaß und die Schwere des Eingriffs in die fraglichen Grundrechte als so schwerwiegend angesehen werden könnten, dass sie einen solchen Eingriff rechtfertigten. Die Richtlinie nehme im Gegenteil lediglich allgemein auf die von jedem Mitgliedstaat in seinem nationalen Recht bestimmten „schweren Straftaten“ Bezug und enthalte zudem „keine materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung“. Der EuGH kritisiert in diesem Zusammenhang vor allem, dass der Zugang zu den Daten keiner vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterliege. Drittens schreibe die Richtlinie eine Dauer der Vorratsspeicherung zwischen sechs und 24 Monaten vor, ohne dass eine Unterscheidung zwischen den Datenkategorien anhand der betroffenen Personen oder des etwaigen Nutzens der Daten für das verfolgte Ziel getroffen werde. Es fehlten auch objektive Kriterien, die gewährleisteten, dass die Speicherung auf das absolut Notwendige beschränkt werde.

Darüber hinaus bietet die Richtlinie nach Ansicht des Gerichtshofs keine hinreichenden Garantien dafür, dass die Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang und jeder unberechtigten Nutzung geschützt sind. Unter anderem gestatte sie es den Diensteanbietern, bei der Bestimmung des von ihnen angewandten Sicherheitsniveaus wirtschaftliche Erwägungen (insbesondere hinsichtlich der Kosten für die Durchführung der Sicherheitsmaßnahmen) zu berücksichtigen, und gewährleiste nicht, dass die Daten nach Ablauf ihrer Speicherungsfrist unwiderruflich vernichtet werden.

Abschließend rügt der EuGH, dass die Richtlinie keine Speicherung der Daten im Unionsgebiet vorschreibt. Sie gewährleiste damit nicht in vollem Umfang, dass die Einhaltung der Erfordernisse des Datenschutzes und der Datensicherheit durch eine unabhängige Stelle überwacht werde, obwohl die Charta der Grundrechte der Europäischen Union dies ausdrücklich fordere. „Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten“, so das Fazit der Richter. In ihrer jetzigen Form sei die Vorratsdatenspeicherung geeignet, „bei den Betroffenen das Gefühl zu erzeugen, dass ihr Privatleben Gegenstand einer ständigen Überwachung ist“.

Die EU-Richtlinie müsste nun so umgestaltet werden, dass sich die verdachtlose Speicherung von Telefon-, Internet- und E-Mail-Daten zu Fahndungszwecken auf das absolut Notwendige beschränkt. Ob es tatsächlich eine Neuauflage geben wird, ist derzeit aber noch völlig ungewiss. Schon im Dezember hatte EU-Generalanwalt Pedro Cruz Villalón die Richtlinie als mit den EU-Grundrechten unvereinbar bezeichnet. In den meisten Fällen folgt der EuGH der Einschätzung des Gutachters. Im vorliegenden Fall ging das Gericht aber sogar über Villalóns Votum hinaus und räumte dem europäischen Gesetzgeber keine Übergangsfrist zur Nachbesserung ein.

In Deutschland gibt es aktuell keine gesetzliche Regelung zur Vorratsdatenspeicherung, nachdem das Bundesverfassungsgericht das vorgesehene Gesetz 2010 für verfassungswidrig erklärt hatte. Die damalige Regierung konnte sich im Anschluss nicht auf eine Neufassung einigen. CDU/CSU und SPD wollten laut Koalitionsvertrag die Voratsspeicherung wieder einführen, vor allem um drohenden Strafzahlungen der EU wegen Nichtumsetzung der Richtlinie zu entgehen. Doch mit der jetzigen Entscheidung des EuGH entfällt auch die Umsetzungspflicht für die nationalen Gesetzgeber.

„Mit der Umsetzungspflicht ist das zentrale Argument der Bundesregierung für die Einführung der Vorratsdatenspeicherung in Deutschland weggefallen“, sagt Volker Tripp, politischer Referent des Vereins Digitale Gesellschaft. „Jetzt mit einer gesetzlichen Regelung vollendete Tatsachen zu schaffen, wäre weder politisch noch juristisch begründbar. Selbst wenn es zu einer Neuauflage der Richtlinie kommen sollte, ist derzeit völlig offen, wie die Vorgaben für die Gesetzgebung der Mitgliedstaaten im Detail aussehen werden. Die Bundesregierung sollte daher ihre Pläne zur anlasslosen Massenspeicherung der Kommunikationsdaten in Deutschland aufgeben, statt die Grundrechte bis an die äußerste höchstrichterlich erlaubte Grenze einzuschränken.“

Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

4 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

4 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

4 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

7 Stunden ago

Internet-Tempo in Deutschland: Viel Luft nach oben

Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.

7 Stunden ago