Vorratsdatenspeicherung – quo vadis?

Der Gerichtshof der Europäischen Union (EuGH) hat in seinem Urteil vom 20. September 2022 (verbundene Rechtssachen C-793/19 und C-794/19) entschieden, dass die Vorratsdatenspeicherung, wie sie der deutsche Gesetzgeber im Telekommunikationsgesetz (TKG) vorsieht, nicht mit europäischem Recht vereinbar sei.

Das 2015 beschlossene Gesetz sollte 2017 erstmals angewendet werden. Die Anwendung wurde durch die Bundesnetzagentur wegen europarechtlicher Bedenken jedoch einstweilig ausgesetzt, die sich aus einem Beschluss des Oberverwaltungsgerichts Nordrhein-Westfalen aus dem Jahr 2017 ergaben (13 B 238/17). Der EuGH hat diese Bedenken nun mit vorliegendem Urteil bestätigt und setzt damit seine bisherige Rechtsprechung, die vergleichbare Regelungen anderer Mitgliedstaaten zum Gegenstand hatte, fort.

Was bedeutet Vorratsdatenspeicherung nach dem TKG?

Die Vorratsdatenspeicherung wie sie bisher in den §§ 175 bis 182 TKG geregelt ist, ermöglicht die flächendeckende, anlasslose und verdachtsunabhängige Speicherung von Telekommunikationsdaten durch die Telekommunikationsanbieter für eine Dauer von vier bzw. zehn Wochen. Betroffen sind Verkehrs- und Standortdaten aller Nutzer des jeweiligen Anbieters, also Daten, die zum Zwecke der elektronischen Nachrichtenübermittlung verarbeitet werden, und solche, die den geografischen Standort des Endgeräts eines Nutzers angeben. Ohne unmittelbar Kommunikationsinhalte zu erfassen, wird durch den großen Bestand an Verkehrsdaten die Erstellung präziser Bewegungsprofile und hierdurch Rückschlüsse auf private Informationen ermöglicht. Diese Informationen umfassen „etwa […] Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen […] und das soziale Umfeld […]“ (EuGH, Urt. v. 20. September 2022 – C-793/19 und C-794/19). Die gespeicherten Daten sind auf Anforderung von Strafverfolgungs- oder Gefahrenabwehrbehörden unter Berücksichtigung der gesetzlichen Bedingungen herauszugeben.

Der bisherigere Verfahrensgang

SpaceNet und Telekom Deutschland ließen bereits 2018 mit Urteil des Verwaltungsgerichts Köln erfolgreich feststellen, dass sie aus § 113a Abs. 1 TKG a. F. in Verbindung mit § 113b TKG a. F. (§ 176 TKG n. F.) keine Pflicht zur Speicherung und Erhebung von Kundenverkehrsdaten treffe. Das Verwaltungsgericht war damals auf Grundlage eines EuGH-Urteils aus dem Jahre 2016 der Ansicht, dass die Vorratsdatenspeicherung des TKG gegen Unionsrecht verstoße. Das Verfahren wurde beim Bundesverwaltungsgericht weitergeführt, das dem EuGH eine Frage zur Auslegung der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG, auch bekannt als ePrivacy-Richtlinie) vorlegte. Von der Auslegung hinge nach Überzeugung des Bundesverwaltungsgerichts ab, ob die sich aus dem TKG ergebende Pflicht zur Vorratsdatenspeicherung gegen Unionsrecht verstoße.

Das Urteil des EuGH

Der EuGH stellte in seinem Urteil zunächst fest, dass die Verfahren zur Vorratsdatenspeicherung dem Geltungsbereich der ePrivacy-Richtlinie unterfallen. Diese schützt umfassend die Vertraulichkeit elektronischer Nachrichten und diese Nachrichten betreffende Verkehrs- und Standortdaten. Der Grundsatz der Vertraulichkeit impliziert, dass eine Speicherung solcher Daten auf Vorrat grundsätzlich der Erlaubnis der betroffenen Nutzer bedarf. Ohne ihre Einwilligung dürfen Nutzer elektronischer Kommunikationsmittel erwarten, dass nicht nur die Inhalte ihrer Nachrichten, sondern auch die dazugehörigen Verkehrs- und Standortdaten anonym bleiben und nicht gespeichert werden. Die Erstellbarkeit von umfassenden Profilen der betroffenen Personen und die konstante Datenerhebung eigne sich dafür, um bei der Bevölkerung ein Gefühl des konstanten Überwachtseins auszulösen und könne Menschen von der Wahrnehmung ihrer Grundrechte abhalten.

Unabhängig von diesen Wertungen schließt der EuGH die Vorratsdatenspeicherung jedoch nicht vollumfänglich aus. Vielmehr konkretisiert er die Anforderungen, unter denen eine allgemeine, zeitlich begrenzte Vorratsdatenspeicherung nach der aktuellen europarechtlichen Gesetzeslage in Ausnahmefällen möglich sei. Der EuGH fordert dazu eine Gefährdung der nationalen Sicherheit in Form einer realen und aktuellen bzw. vorhersehbaren ernsthaften Bedrohung. An die Feststellung und Überprüfung einer solchen Situation legt er hohe Maßstäbe an und stellt insbesondere klar, dass die Bekämpfung schwerer Kriminalität ausdrücklich nicht als Rechtfertigung für eine allgemeine und unterschiedslose Vorratsdatenspeicherung genüge. Diese bleibe aber in Abstufungen möglich. So soll nach dem Urteil des EuGH in Ausnahmefällen auch zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit die Vorratsdatenspeicherung erlaubt sein. Der EuGH unterscheidet dabei zwischen den Voraussetzungen zur Speicherung von Verkehrs- und Standortdaten, IP-Adressen und die Nutzeridentität betreffenden Daten.

(1) Verkehrsdatenspeicherung

Die auf einen absolut notwendigen Zeitraum begrenzte Speicherung von Verkehrs- und Standortdaten sei danach möglich, wenn diese eine mittels geografischer Kriterien oder anhand objektiver, nicht diskriminierender Kriterien festgelegte Kategorie bestimmter Personen betreffe.

Insbesondere sei die Implementierung eines sog. „Quick Freeze“-Verfahrens zulässig. Dabei sollen umfassend Verkehrs- und Standortdaten nach Aufforderung durch die zuständige Behörde während eines festgelegten Zeitraums umgehend bei den jeweiligen Betreibern elektronischer Kommunikationsdienste gesichert werden können. Die Entscheidung der Behörde muss jedoch einer wirksamen gerichtlichen Kontrolle unterliegen.

(2) Allgemeine IP-Adressen-Speicherung

Hinsichtlich der Speicherung von IP-Adressen darf diese allgemein und unterschiedslos erfolgen, wenn auch hier die Speicherdauer auf einen absolut notwendigen Zeitraum begrenzt wird und die IP-Adressen der Quelle einer Verbindung zugewiesen sind. Einer räumlichen Begrenzung bedarf es in Abgrenzung zur Speicherung von Verkehrs- und Standortdaten nicht. Zwar stelle auch die IP-Adressen-Speicherung einen schweren Eingriff in die Privatsphäre der Bürger dar, allerdings könne der von der IP-Adressen-Speicherung ausgehende Eingriff durch die vorgenannten Voraussetzungen sowie durch Garantien und strenge Voraussetzungen hinsichtlich der Auswertung dieser Daten gerechtfertigt sein.

(3) Die Identität der Nutzer betreffende Daten

Hinsichtlich der Identität der Nutzer elektronischer Kommunikationsmittel betreffende Daten können laut dem Urteil des EuGH allgemein und unterschiedslos gespeichert werden. Voraussetzung ist jedoch, dass diese Daten tatsächlich ermöglichen müssen, Personen zu identifizieren, die diese Kommunikationsmittel im Zusammenhang mit der Vorbereitung oder Begehung einer Tat, welche als schwere Kriminalität eingestuft wird, genutzt haben.

Wie geht es weiter?

Da der EuGH die Zulässigkeit der präventiven unterschiedslosen Speicherung von IP-Adressen unter den genannten Voraussetzungen für europarechtskonform befindet, bleibt abzuwarten, ob der Gesetzgeber von seinem Umsetzungsspielraum hinsichtlich der Vorratsdatenspeicherung Gebrauch macht. Das Urteil lässt Details zur gesetzlichen Ausgestaltung einer Vorratsdatenspeicherung in ihren verschiedenen Varianten offen.

Die Implementierung eines vom EuGH explizit erwähnten „Quick Freeze“-Modells erscheint jedoch, nicht zuletzt aufgrund aktueller politischer Debatten, zumindest als möglich. Sowohl Einsatz als auch Verwertung „eingefrorener“ Daten könnten dann, je nach gesetzlicher Ausgestaltung, etwa von einer richterlichen Anordnung abhängig gemacht werden.

Erwähnenswert ist an dieser Stelle, dass Anbieter von Telekommunikationsdiensten bereits heute Verkehrs- und Standortdaten mit Abrechnungsrelevanz nach selbst festgelegtem Umfang und zeitlichem Rahmen als Geschäftsdaten speichern. Durch die Aussetzung der Vorratsdatenspeicherung seit 2017 besteht für Ermittlungsbehörden seit diesem Zeitpunkt aber kein auf Zugriff von Verkehrs- und Standortdaten abgestimmter, beschränkender gesetzlicher Rahmen für die Nutzung von zu Geschäftszwecken erhobenen Verkehrs- und Standortdaten. Insofern bleibt abzuwarten, ob die zu erwartende legislative Neuregelung für die Sicherheitsbehörden, die Bürger, aber auch die betroffenen Unternehmen mehr Transparenz und Rechtssicherheit in einem äußerst grundrechtssensiblen Bereich bringt.

Was bedeutet das für Anbieter von Telekommunikationsdienstleistungen?

Bis zur Neuregelung durch den Gesetzgeber gilt der aktuelle Status fort. Eine umfassende gesetzliche Speicherpflicht von Verkehrs- und Standortdaten gibt es weiterhin nicht. Es muss allerdings davon ausgegangen werden, dass das Thema „Pflicht zur Vorratsdatenspeicherung“ nicht beendet ist. Die Nichteinhaltung der zukünftigen Regelungen dürfte voraussichtlich, genau wie bisher, mit der Zahlung eines Bußgeldes sanktioniert werden. Insofern ist es zu empfehlen, den Gesetzgebungsprozess genau zu beobachten, um frühzeitig reagieren zu können und die eigenen betrieblichen Abläufe und Richtlinien an die Anforderungen eines zukünftigen Gesetzes anzupassen.

Haben Sie Fragen oder weiteren Informationsbedarf?

Sprechen Sie uns an