Der Europäische Gerichtshof hat die deutsche Regelung, die Anbieter von Telekommunikationsdiensten zur anlasslosen Speicherung bestimmter Verkehrs- und Standortdaten verpflichtet, als unvereinbar mit EU-Recht beurteilt.

Europäischer Gerichtshof, Urteil vom 20.09.2022 – verbundene Rs. C-739/19 und C-794/19

Die 2015 auf Grundlage der Datenschutzrichtlinie für elektronische Kommunikation (Rl. 2002/58/EG) eingeführten Regelung der §§  175, 176 TKG (§§ 113a, 113b TKG a.F.) verpflichtet die Anbieter von Telekommunikationsdiensten dazu, bestimmte Daten der Nutzer ihrer Dienste allgemein und ohne spezifischen Anlass für zehn bzw. vier Wochen zu speichern und Behörden auf deren Ersuchen hin zu übermitteln. Zu den speicherungspflichtigen Daten gehören etwa die Rufnummern zu Telefonaktivitäten, Zeitangaben zu geführten Gesprächen und die IP-Adressen von Internetnutzern.

Gegen die Regelung geklagt hatten die Anbieter Telekom AG und Spacenet AG. In ihren Verfahren legte das Bundesverwaltungsgericht dem EuGH die Frage vor, ob die deutsche Regel mit EU-Recht vereinbar sei. Der Gerichtshof verneinte dies nun mit der Begründung, die zu speichernden Verkehrs- und Standortdaten erlaubten genaue Schlüsse auf das Privatleben der betroffenen Personen bis hin zur Erstellung eines Profils. Der EuGH erinnerte daneben, dass von der Speicherpflicht auch Daten von Berufsgeheimnisträgern wie Ärzten, Anwälten oder Journalisten erfasst seien.

Zur Unionsrechtskonformität verhelfe es den deutschen Regeln auch nicht, dass sie kürzere Speicherfristen als die Gesetze anderer EU-Staaten sowie Maßnahmen gegen Datenmissbrauch vorsehen. Vorkehrungen, die den späteren Zugriff von Sicherheitsbehörden auf die Daten regulierten und von Voraussetzungen abhängig machten, könnten nicht als Rechtfertigung für die vorherige Speicherung angeführt werden.

Der EuGH führt in seinem Urteil zur deutschen Vorratsdatenspeicherung seine generelle Rechtsprechungslinie fort, wonach eine allgemeine, anlasslose Vorratsdatenspeicherung grundsätzlich unzulässig ist. Zuletzt hatte der EuGH die irische Vorratsdatenspeicherungspflicht beanstandet. Parallel zum deutschen Verfahren beurteilte der Gerichtshof auch eine französische Regelung als unionsrechtswidrig, die eine Speicherpflicht zur Bekämpfung strafbarer Insidergeschäfte vorsieht (verbundene Rs. C-339/20 und C-397/20).  

Der EuGH definiert in seinem Urteil jedoch auch eng umgrenzte Fälle, in denen eine Datenspeicherpflicht zulässig sein kann. So komme eine allgemeine und unterschiedslose Vorratsdatenspeicherung in Betracht, wenn sich der Staat einer ernsten Bedrohung der nationalen Sicherheit gegenübersehe, die als real und aktuell oder vorhersehbar einzustufen sei. Daneben sei zur Bekämpfung schwerer Kriminalität und schwerer Bedrohungen der öffentlichen Sicherheit eine gezielte Vorratsdatenspeicherung in der Weise möglich, dass die betroffenen Personen anhand diskriminierungsfreier Merkmale oder geografischer Kriterien ausgewählt werden. Zu demselben Zweck sei auch eine allgemeine und unterschiedslose Speicherung von IP-Adressen zulässig. Drittens komme zur Kriminalitätsbekämpfung und zum Schutz der öffentlichen Sicherheit auch eine allgemeine, unterschiedslose Speicherpflicht für die Identität der Nutzer elektronischer Kommunikationsmittel betreffender Daten in Betracht. Auch das so genannte „Quick-Freeze-Verfahren“ beurteilt der EuGH schließlich als unionsrechtskonform. Danach können Telekommunikationsdiensteanbieter verpflichtet werden, von ihnen erhobene Verkehrs- und Standortdaten für einen bestimmten Zeitraum zu sichern.

Innerhalb dieser vom EuGH abgesteckten unionsrechtlichen Grenzen ist es nun am deutschen Gesetzgeber, eine Nachfolgeregelung zu erwägen. Die aktuelle Vorratsdatenspeicherungspflicht im TKG wird bereits seit einem Beschluss des Oberverwaltungsgerichts Nordrhein-Westfalen im einstweiligen Rechtsschutz aus dem Jahr 2017 von der Bundesnetzagentur vorläufig nicht durchgesetzt.

Quellen

EuGH, Pressemitteilung vom 20.09.2022, abrufbar unter: https://curia.europa.eu/jcms/upload/docs/application/pdf/2022-09/cp220156de.pdf

Informationsseite der Bundesnetzagentur, abrufbar unter: https://www.bundesnetzagentur.de/DE/Fachthemen/Telekommunikation/OeffentlicheSicherheit/Ueberwachung_Auskunftsert/VDS_113aTKG/node.html