Читать книгу Datenschutzrecht - Jürgen Kühling - Страница 71

91

Von großer Relevanz im Zusammenhang mit dem Fernmeldegeheimnis war das Urteil des BVerfG zur Vorratsdatenspeicherung[1], in dem das Gericht den Beschwerdeführern im Wesentlichen Recht gab, die angegriffenen Normen (§§ 113a und 113b TKG a.F. sowie § 100g Abs. 1 S. 1 StPO, soweit danach Verkehrsdaten gemäß § 113a TKG a.F. erhoben werden durften) unter Feststellung der Verletzung von Art. 10 Abs. 1 GG für nichtig erklärte und die unverzügliche Löschung der auf dieser Grundlage gespeicherten Daten anordnete.

92

Zur Frage der Prüfungskompetenz führten die Richter zunächst aus, die Wirksamkeit der damaligen Vorratsdatenspeicherungsrichtlinie (siehe dazu → Rn. 164 ff.) sei nicht entscheidungserheblich, weil ein hinreichend weiter Entscheidungsspielraum der Mitgliedstaaten bestehe, um grundsätzlich eine Umsetzung ohne Verstoß gegen deutsche Grundrechte zu erreichen.[2] Eine Vorlage an den EuGH sah das BVerfG nicht als geboten an, weil der Zugang selbst in der Richtlinie nicht näher geregelt werde und eine anlasslose Speicherung an sich nicht schlechthin unvereinbar mit der Verfassung sei. Sie könne mit der Effektivierung der Strafverfolgung, der Gefahrenabwehr und der Erfüllung der Aufgaben der Nachrichtendienste legitime Zwecke verfolgen. Eine bereits im Volkszählungsurteil strikt verbotene Vorratsspeicherung zu unbestimmten oder noch nicht bestimmten Zwecken liege nicht vor. Allerdings unterliege die Speicherung hinsichtlich Begründung und Ausgestaltung besonders strengen Anforderungen. Gegen die Annahme der Geeignetheit und Erforderlichkeit bestünden keine durchgreifenden Bedenken. Speziell das „Quick-Freeze-Verfahren“ könne nicht als ebenso wirksam angesehen werden, weil es keinen vollständigen Datenbestand für die letzten sechs Monate gewährleiste. Es bleibt abzuwarten, ob das BVerfG an diesem im Vergleich zum EuGH (siehe → Rn. 177 ff.) großzügigeren Maßstab auch künftig festhalten wird.

93

Hinsichtlich der Angemessenheit betonte das Gericht zunächst die Schwere des Eingriffs in das Fernmeldegeheimnis aufgrund seiner bisher ungekannten Streubreite, seiner Anlasslosigkeit und Heimlichkeit. Zudem komme den Daten eine weitreichende Aussagekraft zu, weil bei umfassender und automatisierter Auswertung bis in die Intimsphäre hineinreichende inhaltliche Rückschlüsse möglich seien und gegebenenfalls aussagekräftige Persönlichkeits- und Bewegungsprofile erstellt werden könnten. Im Übrigen hob das Gericht die Missbrauchsmöglichkeiten hervor, speziell aufgrund der Vielzahl privater Anbieter, die Zugriff auf die Daten haben müssen.

94

Demgegenüber sei jedoch zu beachten, dass die Erhebung nicht direkt durch den Staat vorgenommen werde und deshalb bei der Speicherung selbst noch keine Zusammenführung erfolge. Der Abruf selbst fände dann stets anlassbezogen nach rechtlich näher festgelegten Kriterien statt. Zwar liege die sechsmonatige Speicherdauer an der Obergrenze der Rechtfertigungsfähigkeit, der Bürger könne sich jedoch nach Ablauf auf die nachhaltige Löschung verlassen. Die Vorratsdatenspeicherung knüpfe außerdem an die besondere Bedeutung der Telekommunikation in der modernen Welt an und reagiere auf ein spezifisches Gefahrenpotential durch Bündelung von Wissen, Handlungsbereitschaft und krimineller Energie.

95

Ungeachtet dessen nahm das Gericht sodann auf den verfassungsrechtlichen Identitätsvorbehalt Bezug, den der Zweite Senat im „Lissabon-Urteil“[3] entwickelt hat und für dessen Wahrung sich die Bundesrepublik in europäischen und internationalen Zusammenhängen einsetzen müsse.[4] Hierzu zähle, dass die Vorratsdatenspeicherung auch im Zusammenspiel mit anderen Datensammlungen nicht zu einer totalen Erfassung und Registrierung der bürgerlichen Freiheitswahrnehmung führen dürfe. Im Ergebnis dürfen also auch nach einer „Überwachungsgesamtrechnung“ nicht praktisch alle Aktivitäten der Bürger erfassbar und rekonstruierbar sein.[5] Vor diesem Hintergrund reduziere die Vorratsdatenspeicherung zwar den Spielraum für weitere anlasslose Datensammlungen auch über den Weg der Europäischen Union. Sie führe jedoch nicht zu einer entsprechenden Totalerfassung und sei damit verfassungsrechtlich unbedenklich, sofern eine angemessene Ausgestaltung der Speicherung und Verwendung der Daten gewährleistet werde.

96

Dies erfordere die Gewährleistung einer besonders hohen Datensicherheit, enge Vorgaben für die Verwendung der Daten, hinreichende Vorgaben zur Transparenz sowie effektive Rechtsschutzmöglichkeiten und Sanktionen. Im Einzelnen bedeute dies etwa grundsätzlich eine getrennte Speicherung, eine anspruchsvolle Verschlüsselung, ein gesichertes Zugriffsregime sowie eine revisionssichere Protokollierung.[6] Der Abruf zur Strafverfolgung setze einen durch bestimmte Tatsachen begründeten Verdacht einer schweren Straftat voraus, deren Schwere in der Strafnorm einen objektivierten Ausdruck finden und die auch im Einzelfall schwer wiegen muss.[7] Hinsichtlich aller Eingriffsermächtigungen mit präventiver Zielsetzung müssen tatsächliche Anhaltspunkte einer konkreten Gefahr für Leib, Leben oder Freiheit einer Person, für den Bestand oder die Sicherheit des Bundes bzw. eines Landes oder einer gemeinen Gefahr vorliegen.[8] Die Zweckbindung müsse dabei jeweils auch im Anschluss an Abruf oder Übermittlung sichergestellt und verfahrensmäßig flankiert werden.[9]

97

Die Verwendung der Daten habe nach Möglichkeit offen zu erfolgen, es sei denn, dies würde den Untersuchungszweck vereiteln. In diesem Fall sei eine richterliche Anordnung und grundsätzlich die nachträgliche Benachrichtigung der betroffenen Person erforderlich.[10] Im Übrigen solle ein Rechtsschutzverfahren zur nachträglichen Kontrolle der Datenverwendung eröffnet und wirkungsvolle Sanktionen bei Verletzungen vorgesehen werden.[11] Die Abfrage oder Übermittlung sei schließlich grundsätzlich unter Richtervorbehalt zu stellen.[12]

98

Weniger strenge Anforderungen sollten dagegen hinsichtlich der Nutzung von Vorratsdaten zur Referenzierung dynamischer IP-Adressen gelten, weil die Behörden selbst hierbei keine Kenntnis von den Vorratsdaten erhalten und die Aussagekraft der Daten eng begrenzt bleibt.[13] Deshalb ließ das Gericht hier die Verfolgung von Straftaten, die Gefahrenabwehr und die Aufgabenwahrnehmung der Nachrichtendienste auf Grundlage der allgemeinen fachrechtlichen Eingriffsermächtigungen genügen, ohne dass ein Richtervorbehalt erforderlich wäre. Voraussetzung sei lediglich das Vorliegen eines hinreichenden Anfangsverdachts bzw. einer konkreten Gefahr auf einzelfallbezogener Tatsachenbasis, die aktenkundig zu machen sind. Ordnungswidrigkeiten können nur dann Anlass sein, wenn ihnen auch im Einzelfall besonderes Gewicht zukommt.[14] Diese Einschränkung hat Bedeutung für den Zugriff anlässlich der Verfolgung von Urheberrechtsverletzungen im Internet, der nach den bereits erläuterten strengen Vorgaben hinsichtlich des Verwendungszwecks eigentlich ausgeschlossen wäre. Weil es hierbei aber gerade um entsprechende behördliche Auskunftsansprüche hinsichtlich der Anspruchsinhaber bestimmter IP-Adressen geht[15], greift die dargestellte Privilegierung mit der Konsequenz, dass ein solcher Zugriff nicht grundsätzlich verwehrt ist. Jüngst wurden vom BVerfG[16] die Voraussetzungen für die Zuordnung dynamischer IP-Adressen im Bereich der manuellen Auskunft nach § 113 TKG und darauf bezugnehmender Normen des Strafprozess- und Sicherheitsrechts allerdings sowohl bei Abruf-, als auch bei Übermittlungsregelungen verschärft, sodass – anders als für Bestandsdaten – über das Vorliegen einer konkreten Gefahr bzw. das Bestehen eines Anfangsverdachts hinaus die Maßnahme noch dem Schutz oder der Bewehrung von Rechtsgütern von hervorgehobenem Gewicht dienen muss (siehe dazu weiter → Rn. 951).

99

Den geschilderten Anforderungen wurden nach Ansicht des BVerfG die angegriffenen Vorschriften nicht gerecht und verstießen deshalb gegen das Fernmeldegeheimnis aus Art. 10 Abs. 1 GG. § 113a Abs. 10 TKG trug den besonders hohen Anforderungen an die Datensicherheit nicht hinreichend Rechnung und ließ ein ausgeglichenes Sanktionssystem vermissen.[17] § 113b S. 1 Nr. 1 TKG i.V.m. § 100g StPO ließen verfassungswidrig generell Straftaten von erheblicher Bedeutung genügen und erlaubten undifferenziert stets den heimlichen Zugriff.[18] § 113b S. 1 Nr. 2 und 3 TKG nannte nicht konkret die Verwendungszwecke. Es wurde keinerlei Schutz von Vertrauensbeziehungen gewährleistet.

100

§ 113b S. 1 Hs. 2 TKG ließ i.V.m. § 113 Abs. 1 TKG die Ahndung jeder Ordnungswidrigkeit genügen, enthielt keine normenklaren speziellen Regelungen und keine Regelungen zur Benachrichtigung der betroffenen Person. Damit war zugleich die Speicherungspflicht aus § 113a TKG verfassungswidrig.[19] Das Gericht entschied, dass die Normen gemäß § 95 Abs. 3 S. 1 BVerfGG für nichtig zu erklären waren, was eine übergangsweise Anwendung in eingeschränktem Umfang ausschloss.

101

Im Ergebnis fehlte es in Deutschland fortan an einer Umsetzungsregelung, wie sie die Richtlinie forderte. Sämtliche auf Basis dieser Vorschriften gespeicherten Daten waren durch die Diensteanbieter unverzüglich zu löschen. Damit wurde wieder der Altzustand des grundsätzlichen Speicherungsverbotes herbeigeführt. Dieser Zustand war vor dem Hintergrund der unionsrechtlichen Umsetzungspflicht problematisch, weil die Bundesrepublik in Ermangelung einer rechtswirksamen Umsetzungsregelung gegen Unionsrecht verstieß und sich prinzipiell einem Vertragsverletzungsverfahren aussetzte. Vor diesem Hintergrund wäre es wohl sinnvoller gewesen, dem Gesetzgeber eine Frist für eine verfassungskonforme Neuregelung zu setzen und die angegriffenen Normen einstweilen (wie bereits im einstweiligen Rechtsschutzverfahren) weitergelten zu lassen, ggf. mit entsprechenden Anwendungsrestriktionen. Diese Überlegung wird auch durch eine ökonomische Betrachtung aus Sicht der betroffenen Telekommunikationsunternehmen gestützt. Die Unternehmen waren zunächst gezwungen, auf eigene Kosten die Daten zu erfassen und vorzuhalten, mussten diese sodann auf eigene Kosten vollständig und unverzüglich löschen und sahen sich in der Folgezeit erneut mit einer Speicherungspflicht konfrontiert, die seither durch eine erhöhte sicherungstechnische Flankierung und damit auch durch eine erhöhte Kostenintensität gekennzeichnet war. Denn obwohl die zugrunde liegende Richtlinie im April 2014 durch den EuGH wegen Verstoßes gegen Art. 7, 8 sowie Art. 52 GrCh für ungültig erklärt wurde (siehe dazu auch unter → Rn. 177 ff.),[20] damit die Umsetzungspflicht entfiel und folglich der Rechtszustand in Deutschland unionsrechtskonform war, wurde Ende 2015 durch das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten[21] wiederum eine Vorratsdatenspeicherung eingeführt. Auf deren Durchsetzung verzichtete die Bundesnetzagentur aber ausdrücklich noch vor Ablauf der Übergangsfrist,[22] nachdem das OVG NRW in einem von einem Internetzugangsprovider angestrengten Verfahren im einstweiligen Rechtsschutz die Speicherpflicht aufgrund Unionsrechtswidrigkeit der entsprechenden Normen für nicht anwendbar gehalten hatte.[23] Im Hauptsacheverfahren hierzu gibt es bislang noch kein rechtskräftiges Urteil. Das VG Köln, an das die Sache zurückging, blieb in der Sache bei der Position des OVG NRW im einstweiligen Rechtsschutz und hielt die Speicherpflicht für unionsrechtswidrig.[24] Das inzwischen in einer Sprungrevision mit dem Streit befasste BVerwG legte an den EuGH vor, dessen Entscheidung noch aussteht.[25]

102

Insgesamt ist inzwischen die Rechtsprechung des EuGH zur Vorratsdatenspeicherung auf der Basis der Datenschutzgrundrechte der EU strenger als die des BVerfG. Denn zum einen verlangt der EuGH strengere Begrenzungen der Speicherung an sich und zum anderen auch eine Speicherung auf dem Territorium der EU (siehe dazu → Rn. 178).