EuGH kippt Richtlinie zur Vorratsdatenspeicherung

Der Europäische Gerichtshof in Luxemburg hat mit seinem heutigen Urteil (PDF) die Richtlinie zur Vorratsdatenspeicherung (2006/24/EG) für ungültig erklärt. Er begründet seine Entscheidung damit, dass sie einen besonders schwerwiegenden Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten beinhaltet, der sich nicht auf das absolut Notwendige beschränkt.

Der Oberste Gerichtshof Österreichs sowie der irische High Court hatten sich in zwei Rechtssachen (C-293/12 und C-594/12) mit einem Vorabentscheidungsersuchen an die EU gewandt, um die Gültigkeit der 2006 erlassenen Richtlinie prüfen zu lassen. Gerichte der Mitgliedstaaten können auf diesem Weg in einem bei ihnen anhängigen Rechtsstreit dem Europäischen Gerichtshof Fragen nach der Auslegung des Unionsrechts vorlegen. Der EuGH entscheidet allerdings nicht über den nationalen Rechtsstreit.

Bei seiner Prüfung der Richtlinie kam das oberste europäische Gericht zu dem Ergebnis, „dass der Unionsgesetzgeber beim Erlass der Richtlinie über die Vorratsspeicherung von Daten die Grenzen überschritten hat, die er zur Wahrung des Grundsatzes der Verhältnismäßigkeit einhalten musste“. Zwar sei die nach der Richtlinie vorgeschriebene Vorratsspeicherung der Daten zur Erreichung des mit ihr verfolgten Ziels – also der Verhütung, Ermittlung, Feststellung und Verfolgung von schweren Straftaten wie organisierter Kriminalität und Terrorismus – geeignet, doch enthalte sie keine Bestimmungen, die gewährleisten, dass sich der Eingriff in die fraglichen Grundrechte tatsächlich auf das absolut Notwendige beschränke.

Denn erstens erstrecke sich die Richtlinie generell auf sämtliche Personen, elektronische Kommunikationsmittel und Verkehrdaten, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen, so der EuGH. Zweitens sehe die Richtlinie kein objektives Kriterium vor, das es ermögliche, den Zugang der zuständigen nationalen Behörden zu den Daten und deren Nutzung zwecks Verhütung, Feststellung oder strafrechtlicher Verfolgung auf Straftaten zu beschränken, die im Hinblick auf das Ausmaß und die Schwere des Eingriffs in die fraglichen Grundrechte als so schwerwiegend angesehen werden könnten, dass sie einen solchen Eingriff rechtfertigten. Die Richtlinie nehme im Gegenteil lediglich allgemein auf die von jedem Mitgliedstaat in seinem nationalen Recht bestimmten „schweren Straftaten“ Bezug und enthalte zudem „keine materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung“. Der EuGH kritisiert in diesem Zusammenhang vor allem, dass der Zugang zu den Daten keiner vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterliege. Drittens schreibe die Richtlinie eine Dauer der Vorratsspeicherung zwischen sechs und 24 Monaten vor, ohne dass eine Unterscheidung zwischen den Datenkategorien anhand der betroffenen Personen oder des etwaigen Nutzens der Daten für das verfolgte Ziel getroffen werde. Es fehlten auch objektive Kriterien, die gewährleisteten, dass die Speicherung auf das absolut Notwendige beschränkt werde.

Darüber hinaus bietet die Richtlinie nach Ansicht des Gerichtshofs keine hinreichenden Garantien dafür, dass die Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang und jeder unberechtigten Nutzung geschützt sind. Unter anderem gestatte sie es den Diensteanbietern, bei der Bestimmung des von ihnen angewandten Sicherheitsniveaus wirtschaftliche Erwägungen (insbesondere hinsichtlich der Kosten für die Durchführung der Sicherheitsmaßnahmen) zu berücksichtigen, und gewährleiste nicht, dass die Daten nach Ablauf ihrer Speicherungsfrist unwiderruflich vernichtet werden.

Abschließend rügt der EuGH, dass die Richtlinie keine Speicherung der Daten im Unionsgebiet vorschreibt. Sie gewährleiste damit nicht in vollem Umfang, dass die Einhaltung der Erfordernisse des Datenschutzes und der Datensicherheit durch eine unabhängige Stelle überwacht werde, obwohl die Charta der Grundrechte der Europäischen Union dies ausdrücklich fordere. „Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten“, so das Fazit der Richter. In ihrer jetzigen Form sei die Vorratsdatenspeicherung geeignet, „bei den Betroffenen das Gefühl zu erzeugen, dass ihr Privatleben Gegenstand einer ständigen Überwachung ist“.

Die EU-Richtlinie müsste nun so umgestaltet werden, dass sich die verdachtlose Speicherung von Telefon-, Internet- und E-Mail-Daten zu Fahndungszwecken auf das absolut Notwendige beschränkt. Ob es tatsächlich eine Neuauflage geben wird, ist derzeit aber noch völlig ungewiss. Schon im Dezember hatte EU-Generalanwalt Pedro Cruz Villalón die Richtlinie als mit den EU-Grundrechten unvereinbar bezeichnet. In den meisten Fällen folgt der EuGH der Einschätzung des Gutachters. Im vorliegenden Fall ging das Gericht aber sogar über Villalóns Votum hinaus und räumte dem europäischen Gesetzgeber keine Übergangsfrist zur Nachbesserung ein.

In Deutschland gibt es aktuell keine gesetzliche Regelung zur Vorratsdatenspeicherung, nachdem das Bundesverfassungsgericht das vorgesehene Gesetz 2010 für verfassungswidrig erklärt hatte. Die damalige Regierung konnte sich im Anschluss nicht auf eine Neufassung einigen. CDU/CSU und SPD wollten laut Koalitionsvertrag die Voratsspeicherung wieder einführen, vor allem um drohenden Strafzahlungen der EU wegen Nichtumsetzung der Richtlinie zu entgehen. Doch mit der jetzigen Entscheidung des EuGH entfällt auch die Umsetzungspflicht für die nationalen Gesetzgeber.

„Mit der Umsetzungspflicht ist das zentrale Argument der Bundesregierung für die Einführung der Vorratsdatenspeicherung in Deutschland weggefallen“, sagt Volker Tripp, politischer Referent des Vereins Digitale Gesellschaft. „Jetzt mit einer gesetzlichen Regelung vollendete Tatsachen zu schaffen, wäre weder politisch noch juristisch begründbar. Selbst wenn es zu einer Neuauflage der Richtlinie kommen sollte, ist derzeit völlig offen, wie die Vorgaben für die Gesetzgebung der Mitgliedstaaten im Detail aussehen werden. Die Bundesregierung sollte daher ihre Pläne zur anlasslosen Massenspeicherung der Kommunikationsdaten in Deutschland aufgeben, statt die Grundrechte bis an die äußerste höchstrichterlich erlaubte Grenze einzuschränken.“

Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago