EDRi-BerichtDie EU-Staaten müssen Vorratsdatenspeicherung endlich aufgeben

Die anlasslose Speicherung von Kommunikationsdaten ist hoch umstritten und nicht mit EU-Recht vereinbar. Das hat gestern der Europäische Gerichtshof in einem wegweisenden Urteil nochmal bestätigt. Unser Gastbeitrag erklärt, welche Alternativen es gäbe und warum die EU-Staaten dennoch an der Datensammlung festhalten wollen.

Ein Mensch telefoniert am Handy mit Maske
Die anlasslose Vorratsdatenspeicherung betrifft nicht nur Verbindungs- sondern auch Standortdaten. Symbolbild. – Gemeinfrei-ähnlich freigegeben durch unsplash.com engin akyurt

Dieser Beitrag stammt aus einer Broschüre der European Digital Rights Initiative (EDRi) und ist unter der Lizenz CC BY-NC-SA 4.0 erschienen. Autor:innen sind Melinda Rucz und Sam Kloosterboer. Übersetzung: Leonard Kamps.

Zusammenfassung

Der Bericht nimmt die Vorratsdatenspeicherung erneut kritisch unter die Lupe und kommt zu dem Schluss, dass die anhaltenden Bestrebungen zur Wiedereinführung einer Vorratsdatenspeicherungspflicht in der EU weiterhin gegen EU-Recht verstoßen, solange die absolute Notwendigkeit der Vorratsdatenspeicherung nicht bewiesen ist und keine wirklich gezielte Speicherungspflicht in Betracht gezogen wird.

Nach den Urteilen des Gerichtshofs der Europäischen Union in den Rechtssachen Digital Rights Ireland und Tele2/Watson schien die Zeit der anlasslosen Vorratsdatenspeicherung in Europa zu Ende gegangen zu sein. Allerdings gibt es neue Versuche, wieder einen EU-Rechtsrahmen für die anlasslose Vorratsdatenspeicherung von Telekommunikationsdaten einzuführen. Die Praktiken der Vorratsdatenspeicherung greifen tief in die Privatsphäre ein, da sie umfangreiche persönliche, sogar sensible Informationen über die Personen preisgeben, deren Daten gespeichert werden. Die Vorratsspeicherung von Telekommunikationsdaten schreckt vor Kontaktaufnahmen mit zweckgebundenen Rufnummern ab und untergräbt den Schutz journalistischer Quellen. Ein inhärent hohes Risiko von Datensicherheitsverletzungen verstärkt diese schädlichen Effekte der Vorratsdatenspeicherung nur noch. Zahlreiche Cyberangriffe, Datenlecks, Datenmissbrauch und Fehlgebräuche sind dokumentiert.

Angesichts der weitreichenden negativen Auswirkungen der Vorratsdatenspeicherung auf die Grundrechte setzt der Gerichtshof der Europäischen Union für diesen Praktiken die Voraussetzung, dass sie absolut notwendig sind. Nichtsdestotrotz wird die Notwendigkeit der Vorratsdatenspeicherung zu Strafverfolgungszwecken meist einfach angenommen, während es an Beweisen für die marginalen Vorteile der Vorratsdatenspeicherung im Vergleich zu weniger invasiven Alternativen fehlt.

Darüber hinaus werfen Datenfehler, Fehlinterpretationen und falsch positive Ergebnisse ernsthafte Fragen zur Wirksamkeit einer anlasslosen Datensammlung auf. Der blinde Glaube an die Wirksamkeit datengesteuerter Lösungen manifestiert einen besorgniserregenden Trend zum „technological solutionism“. Während Stimmen für die Wiedereinführung der Vorratsdatenspeicherung oft Harmonisierung und Rechtssicherheit fordern, müssen als hauptsächliche Lösung die Urteile des Gerichtshofs durchgesetzt werden, um einen harmonisierten europäischen Ansatz zur Vorratsdatenspeicherung zu gewährleisten. Dieser Bericht nimmt die Vorratsdatenspeicherung erneut kritisch unter die Lupe und kommt zu dem Schluss, dass die anhaltenden Bestrebungen zur Wiedereinführung einer Vorratsdatenspeicherungspflicht in der EU weiterhin gegen EU-Recht verstoßen, solange die absolute Notwendigkeit der Vorratsdatenspeicherung unbewiesen ist und keine wirklich gezielte Speicherpflicht in Betracht gezogen wird.

1. Zurück von den Toten: Vorratsdatenspeicherung in der EU

Die Aufbewahrungspflicht von Kommunikationsdaten durch Telekommunikationsanbieter hat in Europa zu erheblichen Bedenken hinsichtlich des Schutzes der Privatsphäre geführt. Die EU-Richtlinie zur Vorratsdatenspeicherung, die eine anlasslose Speicherung aller Kommunikations-Metadaten vorschreibt, hat in ganz Europa eine breite Kontroverse angestoßen. Nach Ansicht des Europäischen Datenschutzbeauftragten (EDSB) war die Richtlinie „das am tiefsten in die Privatsphäre eingreifende Instrument, das je von der EU verabschiedet wurde.“

In der wegweisenden Entscheidung im Fall Digital Rights Ireland hat der Gerichtshof der Europäischen Union (EUGH) die Richtlinie wegen ihres in die Privatsphäre eingreifenden Charakters für ungültig erklärt. In der darauf folgenden Tele2/Watson-Entscheidung bestätigte der EUGH, dass die EU-Mitgliedstaaten Telekommunikationsanbietern keine undifferenzierte Speicherungspflicht auferlegen dürfen. In diesen Fällen hat der EUGH klargestellt, dass jede Verpflichtung zur Vorratsspeicherung rechtswidrig ist, es sei denn, die Datenspeicherung erfolgt zielgerichtet und auf das absolut notwendige Maß begrenzt im Hinblick auf die betroffenen Personen, die Kategorie der gespeicherten Daten und die Dauer der Speicherung. Ungeachtet der kategorischen Missbilligung der anlasslosen Vorratsdatenspeicherung durch das höchste Gericht Europas geistert sie weiterhin durch die Agenda der politischen Institutionen Europas.

Wie ein Bericht von Privacy International aus dem Jahr 2017 offenbart, sträuben sich die EU-Mitgliedstaaten, ihre nationalen Datenspeicherungspraktiken an die vom EUGH klar formulierten Anforderungen anzupassen. Im Jahr 2017 leitete der Rat der EU einen „Reflexionsprozess“ ein, um „Optionen zu erkunden“, die die Verfügbarkeit von Kommunikationsdaten für Strafverfolgungsbehörden herstellen. Der Denkprozess hat sich weitgehend auf das von Europol vorgeschlagene Konzept der „eingeschränkten Vorratsdatenspeicherung“ konzentriert. Dieses sieht die Ausnahme von Datenkategorien von der Speicherpflicht vor, die „nicht einmal potenziell relevant“ für die Strafverfolgung sind, etwa die Länge der Antenne oder die Anzahl der Klingeltöne. Folgt man der Entscheidung des EUGH, dass es rechtswidrig ist, die Vorratsspeicherung der Daten von Personen vorzuschreiben, die nicht einmal im entferntesten in Verbindung zu schwerer Kriminalität stehen, ist es schwer vorstellbar, wie eine „eingeschränkte Vorratsdatenspeicherung“ einer Prüfung standhalten könnte. Im Mai 2019 schloss der Rat den Reflexionsprozess mit der Forderung an die Europäische Kommission ab, eine künftige Gesetzesinitiative zur Vorratsdatenspeicherung zu prüfen.

In der Zwischenzeit gehen die Verhandlungen über die Revision der ePrivacy-Direktive zum Schutz der Privatsphäre und der Vertraulichkeit der Kommunikation weiter. Der Reflexionsprozess des Rates hat die Absicht der Mitgliedstaaten deutlich gemacht, ein günstiges Umfeld für die Vorratsspeicherung in der überarbeiteten ePrivacy-Verordnung zu schaffen, was eine potenzielle Einführung einer Verpflichtung zur Vorratsspeicherung durch die Hintertür vorausahnen lässt.

Darüber hinaus hat der Ausbruch der Coronakrise eine steigende Nachfrage nach der Weitergabe von Telekommunikationsdaten an Regierungen ausgelöst und einige fordern mit Fingerzeig auf diese Tendenz eine neue harmonisierte Gesetzgebung der EU zur Datenspeicherung.

Angesichts der nachweislichen Versuche, die Vorratsdatenspeicherung wieder von den Toten auferstehen zu lassen, ist es notwendig, die Frage nach ihr kritisch zu überdenken. Die Europäische Kommission hat eine Studie über „mögliche Lösungen“ für die Vorratsdatenspeicherung in Auftrag gegeben, als Wegweiser für ihre Überlegungen zu einer möglichen Initiative für einen neuen gesetzlichen Rahmen der Datensammlung. Die Pläne für diese Studie wurden teilweise veröffentlicht. Bedauerlicherweise scheint die Studie weit davon entfernt unabhängig zu sein, wie Digitalcourage betonte. Die Pläne zeigen eine einseitige Konzentration auf die Bedürfnisse und Interessen der Strafverfolgung und eine mangelnde Bewertung der Auswirkungen der Datenspeicherung auf die Grundrechte der europäischen Bürger.

Der vorliegende Bericht wurde erstellt, um die von der Kommission in Auftrag gegebene Studie zu ergänzen. Er wird die Auswirkungen der Vorratsdatenspeicherung auf die Grundrechte und -freiheiten kritisch bewerten, die Notwendigkeit und Wirksamkeit der Vorratsdatenspeicherung erörtern und die von der Vorratsdatenspeicherung ausgehenden Bedrohungen wie Fehlgebrauch, Missbrauch und Datenlecks besprechen.

2. Gesetzlicher Rahmen

Die Charta der Grundrechte der EU (Charta) schützt das Recht auf Privatsphäre und Kommunikationsfreiheit in Artikel 7 und das Recht auf den Schutz personenbezogener Daten in Artikel 8. Gemäß Artikel 52 der Charta muss jede Beschränkung der Ausübung der Artikel 7 und 8 gesetzlich vorgesehen sein, das Wesen der Rechte und Freiheiten achten, einem Ziel von allgemeinem Interesse tatsächlich entsprechen und einer Verhältnismäßigkeitsprüfung genügen. Die Rechte der Charta, die den Rechten in der Europäischen Menschenrechtskonvention (EMRK) entsprechen, müssen im Einklang mit der Bedeutung und Tragweite der Rechte des EGMR ausgelegt werden (Charta der Grundrechte der Europäischen Union (2000) OJ C364/1, Article 52(3)). Artikel 8 der EMRK schützt das Recht auf Privat- und Familienleben, das auch das Recht auf den Schutz personenbezogener Daten umfasst. Der Europäische Gerichtshof für Menschenrechte (EGMR) hat sich in verschiedenen Fällen auf Artikel 8 EMRK berufen, um Praktiken der Vorratsdatenspeicherung zu verurteilen, und hat stets die Auffassung vertreten, dass eine unterschiedslose Vorratsdatenspeicherung einen Eingriff in Artikel 8 EMRK darstellt (siehe bspw. S. and Marper v. the United Kingdom (GC), nos. 30562/04 and 30566/04, ECHR 2008 ; Roman Zakharov v. Russia (GC), no. 47143/06, ECHR 2015; Gaughran v. the United Kingdom, no. 45245/15, ECHR 2020). Die Rechtsprechung des EGMR zur Vorratsdatenspeicherung ist eine wichtige Leitinstanz für die Auslegung der einschlägigen Rechte der Charta.

Die 2006 verabschiedete Richtlinie zur Vorratsdatenspeicherung verpflichtete die Mitgliedstaaten, von den Telekommunikationsanbietern zu verlangen, alle Verkehrs- und Standortdaten für einen Zeitraum zwischen sechs Monaten und zwei Jahren aufzubewahren. In der Angelegenheit Digital Rights Ireland erklärte der EUGH die Richtlinie für ungültig, weil sie Artikel 7 und 8 der Charta verletzt, ohne dass diese Verletzung auf das absolut notwendige Maß beschränkt war. Der EUGH bemängelte, dass die Richtlinie keine klaren und präzisen Regeln in Bezug auf das Ausmaß der durch die Richtlinie verursachten Interferenzen festlegt und keine zufriedenstellenden Schutzmaßnahmen bezüglich des Zugangs der zuständigen Behörden zu den gespeicherten Daten enthält (Joined Cases C-293/12 and C-594/12 Digital Rights Ireland (2014) paras. 60-62, 65).

In der Rechtssache Tele2/Watson bekräftigte der EUGH seine Verurteilung der „allgemeinen und unterschiedslosen Aufbewahrung aller Verkehrs- und Standortdaten aller Teilnehmer und registrierten Benutzer im Zusammenhang mit allen elektronischen Kommunikationsmitteln“ (Joined Cases C-203/15 and C-698/15 Tele2/Watson (2016) para. 134). Der Gerichtshof betonte, dass alle Rechtsvorschriften über die Vorratsdatenspeicherung klare und präzise Regeln und Sicherheiten in Bezug auf den Geltungsbereich der Rechtsvorschriften festlegen müssen, damit die Personen, deren Daten gespeichert werden, „ausreichende Garantien für den wirksamen Schutz ihrer personenbezogenen Daten gegen die Gefahr des Missbrauchs“ haben (Ibid. para. 109).

In seiner Stellungnahme zu dem geplanten Abkommen zwischen der EU und Kanada über Fluggastdatensätze bekräftigte der EUGH, dass die Speicherung, der Zugang und die Verwendung personenbezogener Daten das Recht auf Privatsphäre beeinträchtigen, unabhängig davon, ob es sich um sensible Daten handelt oder ob die Person in irgendeiner Weise belästigt wird, deren Daten gespeichert werden (Opinion 1/15 (2017) para. 124). Der Gerichtshof unterstrich erneut die Notwendigkeit klarer und präziser Vorschriften über die Bedingungen für die Speicherung, den Zugang und die Verwendung personenbezogener Daten sowie das Erfordernis eines objektiven Zusammenhangs zwischen den gespeicherten Daten und dem Ziel der öffentlichen Sicherheit (Ibid. paras. 190-192).

3. Wie Vorratsdatenspeicherung Menschenrechte beschneidet

Die Praktiken der Vorratsdatenspeicherung beinhalten die Speicherung von Verkehrs- und Standortdaten (Metadaten) durch Telekommunikationsunternehmen für einen längeren Zeitraum, um die Verfügbarkeit dieser Daten für Strafverfolgungszwecke zu gewährleisten. Da elektronische Kommunikationstechnologien zunehmend im Verlauf von kriminellen Aktivitäten eingesetzt werden, können elektronische Kommunikationsdaten bei strafrechtlichen Ermittlungen eine wichtige Rolle spielen. Die Massenspeicherung dieser Daten vorzuschreiben birgt jedoch ernsthafte Gefahren für das Recht auf Privatsphäre und Kommunikationsfreiheiten. Diese Risiken werden durch die wachsende Menge an elektronischen Kommunikationsdaten sowie durch die Ausgereiftheit der Technologien zur Aufzeichnung dieser Daten nur noch verstärkt (zum Beispiel wird die nächste Generation von Telekommunikationssystemen 5G in der Lage sein, Standortdaten mit viel größerer Genauigkeit als frühere Systeme zu lokalisieren, was die Risiken für den Datenschutz bei der Speicherung von Standortdaten verschärft).

3.1 Zwei Ebenen von Eingriffen

Die Praktiken der Vorratsdatenspeicherung greifen auf zwei Ebenen in das Recht auf Privatsphäre ein: auf der Ebene der Datenspeicherung und auf der Ebene des späteren Zugriffs der Strafverfolgungsbehörden auf diese Daten. Der EUGH erkannte im Fall Digital Rights Ireland an, dass die Aufbewahrung von Kommunikationsdaten bereits einen Eingriff in das Recht auf Privatsphäre darstellt (Joined Cases C-293/12 and C-594/12 Digital Rights Ireland (2014) para. 34). Dies deckt sich mit der Haltung des EGMR, der in der Rechtssache Marper/UK feststellte, dass bereits die bloße Aufbewahrung von Daten das Recht auf Privatleben beeinträchtigt, unabhängig davon, ob und wie später auf sie zugegriffen wird (S. and Marper v. the United Kingdom (GC), nos. 30562/04 and 30566/04, para. 67, ECHR 2008).

Vor diesem Hintergrund ist es problematisch, dass sich die Aufmerksamkeit der Politik von der Regulierung der Datenspeicherung auf die Regulierung des Zugriffs auf gespeicherte Daten zu lenken scheint. Es wird immer öfter vorgebracht, dass die Regulierung des Zugangs zu Vorratsdaten ausreiche, um die durch die Zwangsspeicherung von Kommunikationsdaten verursachten Eingriffe abzuschwächen. Zum Beispiel brachte Europol vor, dass die breiten Eingriffe auf der Ebene der Speicherung durch eine strenge Zugangsregelung zu gespeicherten Daten ausgeglichen werden sollten. Ein solches Bestreben übersieht die Eingriffstiefe einer einfachen Massenspeicherung von Kommunikationsdaten, die von den höchsten Gerichten Europas ausdrücklich problematisiert wird. Solange ein Eingreifen auf beiden Ebenen nicht absolut notwendig und verhältnismäßig ist, bleibt die Praxis der Datenspeicherung illegal.

3.2 Der einschneidende Charakter von Metadaten

Metadaten – der Gegenstand der Verfahren der Vorratsdatenspeicherung – werden oft als unschuldig und ihre Speicherung als harmlos angesehen, da sie den Inhalt der Kommunikation nicht offenbaren (diese These wurde oft bemüht, um die – nun gekippte – Vorratsdatenspeicherungsrichtlinie zu rechtfertigen. Siehe Elspeth Guild and Sergio Carrera, ‚The political and judicial life of metadata: Digital rights Ireland and the trail of the data retention directive‘ (2014) 65 CEPS Liberty and Security in Europe Papers, p. 1). Der einschneidende Charakter von Metadaten wurde jedoch zunehmend beleuchtet, was auch der Haltung des EUGH zugrunde liegt, nämlich dass Metadaten „sehr genaue Rückschlüsse auf das Privatleben der Personen, deren Daten gespeichert wurden, ermöglichen können“ (Joined Cases C-293/12 and C-594/12 Digital Rights Ireland (2014) para. 27; Joined Cases Joined Cases C-203/15 and C-698/15 Tele2/ Watson (2016) para. 99).

In Deutschland beantragte ein Politiker den Zugriff auf seine Standortdaten, die von der Deutschen Telekom unter der früheren deutschen Vorratsdatenspeicherungsgesetzgebung erhoben wurden und veröffentlichte die Ergebnisse auf einer interaktiven Karte. Obwohl die Datenpunkte für sich genommen unbedeutend sind, ergibt sich aus ihrer Kombination ein klares Bild seines Tagesablaufs, seiner Reisegewohnheiten und seiner Vorlieben für Freizeitaktivitäten. Eine Forschungsarbeit der Stanford University, die untersuchte, wie Telekommunikations-Metadaten die Privatsphäre verletzen, ergab, dass es möglich ist, aus Anruf-Metadaten den Status einer romantischen Beziehung abzuleiten. Die Studie kam auch zu dem Schluss, dass es möglich ist, sensible Rückschlüsse über Metadaten zu ziehen: Anrufe bei religionsgebundenen Nummern können religiöse Einstellungen offenbaren, während Anrufe bei bestimmten Gesundheitsdiensten medizinische Zustände offenbaren können (Jonathan Mayer, Patrick Mutchler and John C. Mitchell, ‘Evaluating the Privacy Properties of Telephone Metadata’ (2016) 113 Proceedings of the National Academy of Sciences 5536). Es wurde auch hervorgehoben, dass Telekommunikations-Metadaten äußerst aufschlussreich sein können, wenn bestimmte Telefonnummern ausschließlich für einen einzigen Zweck verwendet werden, wie etwa Suizid-Hotlines oder Hotlines für Opfer häuslicher Gewalt (Andrew Guthrie Ferguson, The Rise of Big Data Policing: Surveillance, Race and the Future of Law Enforcement (NYU Press, 2019) p. 112.). Betreffzeilen von E-Mails sind ebenfalls eine Art von Metadaten, die oft den Inhalt von E-Mails wiedergeben.

3.3 Chilling Effects von Meinungsfreiheit

Der invasive Charakter der Vorratsdatenspeicherung kann zu Chilling Effects des Rechts der freien Meinungsäußerung führen, was vom EUGH sowohl in Digital Rights Ireland als auch in Tele2/Watson anerkannt wurde (Digital Rights Ireland para. 28; Tele2/Watson para. 101). Die Praktiken der Vorratsdatenspeicherung könnten von der Kontaktaufnahme mit zweckgebundenen Rufnummern abschrecken, da Metadaten dieser Anrufe wie oben erörtert äußerst aufschlussreich sein können. Eine deutsche Studie aus dem Jahr 2008 fand in der Tat Belege für einen solchen Effekt: Die Mehrheit der Forschungsteilnehmer:innen berichtete, dass sie aufgrund der (früheren) Vorratsdatenspeicherungsgesetzgebung davon absehen würden, eine Eheberatungsstelle, eine:n Psychotherapeut:in oder eine Drogenberatungsstelle zu kontaktieren. Die Praktiken der Datenspeicherung bedrohen auch die Fähigkeit von Journalist:innen, ihr Recht auf freie Meinungsäußerung auszuüben. Insbesondere der investigative Journalismus, der sich in hohem Maße auf vertrauliche Quellen stützt, ist durch eine unterschiedslose Vorratsdatenspeicherung gefährdet. Whistleblower:innen könnten sich entmutigt fühlen, weil die Vorratsdatenspeicherung traditionelle Quellenschutzmaßnahmen untergraben könnte. Während der EUGH gefordert hat, dass jede Maßnahme zur Vorratsdatenspeicherung eine Ausnahme für Kommunikation von Berufsgeheimnisträger:innen vorsieht (Joined Cases C-293/12 and C-594/12 Digital Rights Ireland (2014) para. 58; Joined Cases Joined Cases C-203/15 and C-698/15 Tele2/ Watson (2016) para. 105), hat die Europäische Journalisten Föderation in Frage gestellt, wie eine vage Ausnahme für den Schutz journalistischer Quellen in der Praxis umgesetzt werden könnte. Infolgedessen stellen die Praktiken der Vorratsdatenspeicherung nach wie vor eine Gefahr für die journalistische Berichterstattung und damit für die Pressefreiheit dar. Angesichts des zunehmenden Drucks auf die Pressefreiheit in ganz Europa muss die Möglichkeit ernsthaft in Betracht gezogen werden, dass die Gesetzgebung zur Vorratsdatenspeicherung missbraucht werden könnte, um Journalisten weiter einzuschüchtern.

4. Unbedingt erforderlich: Bewiesen oder angenommen?

Auf der Grundlage von Artikel 52 Absatz 1 der Charta muss eine Beschränkung der Ausübung des Rechts auf Privatsphäre unerlässlich sein und den von der Union anerkannten Zielen des Allgemeinwohls oder der notwendigen Wahrung der Rechte und Freiheiten anderer entsprechen, da diese Beschränkungen dem Grundsatz der Verhältnismäßigkeit unterliegen. Nach der Rechtsprechung des EUGH dürfen Ausnahmen und Einschränkungen in Bezug auf das Recht auf Privatsphäre nur auferlegt werden, wenn sie absolut notwendig sind. In der Rechtssache Digital Rights Ireland stellte der EUGH klar, dass der durch die Richtlinie über die Vorratsdatenspeicherung verursachte Eingriff in das Recht auf Privatsphäre nicht auf das absolut Notwendige beschränkt sei. Der EUGH bestätigte ferner die Auffassung des EGMR, dass die bloße Nützlichkeit nicht ausreiche, um die Erforderlichkeit zu begründet (siehe: Silver and Others v. the United Kingdom, 25 March 1983, para. 97, Series A no. 61; Joined Cases C-92/09 and C-93/09 Volker und Markus Schecke (2010) para. 86). Mit anderen Worten legitimiert die bloße Tatsache, dass die Vorratsdatenspeicherung für die Strafverfolgung nützlich sein könnte, keinen derart weitreichenden Eingriff in das Recht auf Privatsphäre.

Im Jahr 2017 veröffentlichte der EDSB das Necessity Toolkit, in dem die Voraussetzung der Erforderlichkeit in Bezug auf EU-Maßnahmen, die in das Recht auf Privatsphäre und den Schutz personenbezogener Daten eingreifen, näher erläutert wird. Darin wurde dargelegt: Die Prüfung der Erfordernis bedarf „einer kombinierten, faktengestützten Bewertung der Wirksamkeit der Maßnahme mit Blick auf das angestrebte Ziel und auf die Frage, ob sie im Vergleich zu anderen Optionen für das Erreichen desselben Ziels weniger eingreifend ist“. Darüber hinaus impliziert das Erfordernis der absoluten Notwendigkeit wie es vom EUGH entwickelt wurde auch eine strenge gerichtliche Überprüfung, was bedeutet, dass der Gesetzgeber einen begrenzten Ermessensspielraum bei der Wahl einer Maßnahme hat, wenn diese einen schwerwiegenden Eingriff in die Grundrechte darstellt. In den Proportionality Guidelines, die das Necessity Toolkit ergänzen, stellte der EDSB klar, dass die Prüfung der Verhältnismäßigkeit voraussetzt, dass die durch eine Maßnahme bewirkten Vorteile nicht durch ihre Nachteile aufgewogen werden. Eine Beurteilung der Verhältnismäßigkeit ist erst dann gerechtfertigt, wenn die Maßnahme die Prüfung der Notwendigkeit bereits erfüllt hat.

4.1 Politische Statements beweisen keine Erfordernis

Während der überzeugende Nachweis der Notwendigkeit von Verfahren zur Vorratsdatenspeicherung von sich aus schwierig ist, liegt es auf der Hand, dass bloße politische Erklärungen, die auf den Nutzen der Vorratsdatenspeicherung hinweisen, die Erfordernis einer Massenspeicherung von Telekommunikationsdaten nicht ausreichend begründen. Es ist bemerkenswert, dass gerade diese politischen Erklärungen als Belege für die Notwendigkeit von Praktiken der Vorratsdatenspeicherung herangezogen wurden. Als die Kommission 2011 gebeten wurde, die Richtlinie zur Vorratsdatenspeicherung und ihre Notwendigkeit zu bewerten, kam sie zu dem Schluss, dass die meisten Mitgliedstaaten die Vorratsdatenspeicherung für wertvoll halten statt einen echten Nachweis für den Mehrwert von Vorratsdatenspeicherung zu erbringen (European Commission, ‚Evaluation report on the Data Retention Directive (Directive 2006/24/EC)‘ (18 April 2011) p. 23).

Im jüngsten Reflexionsprozess des Rates fehlt erneut eine kritische Bewertung der Notwendigkeit der Vorratsdatenspeicherung, wobei der Rat lediglich feststellt, dass die Vorratsdatenspeicherung für die Untersuchung von Straftaten wichtig sei. Die Pläne für die neue Studie der Kommission zur Vorratsdatenspeicherung machen erneut deutlich, dass die Notwendigkeit der Vorratsdatenspeicherung einfach angenommen und nicht kritisch bewertet wird.

Bloße politische Aussagen über den Nutzen der Datenspeicherung sind bedeutungslos, ohne greifbare Beweise für den marginalen Nutzen der Vorratsdatenspeicherung im Vergleich zu bestehenden Alternativen. Bloße politische Erklärungen können nicht ausreichen, um die Notwendigkeit der Datenspeicherung im rechtlichen Sinne zu belegen.

4.2 Die Privatsphäre weniger verletzende Alternativen

Die Strafverfolgungsbehörden verfügen bereits über zahlreiche Ermittlungsinstrumente und Ressourcen zur Ermittlung von Straftaten. Um zu beurteilen, ob eine Vorratsdatenspeicherung absolut notwendig ist, ist es wichtig, weniger in die Privatsphäre eingreifende Alternativen für die Strafverfolgungsbehörden zu prüfen und zu beurteilen, ob diese für die Strafverfolgung ausreichen. Wenn mit weniger eingreifenden Optionen ähnliche Ergebnisse erzielt werden können, werden die Praktiken der Vorratsdatenspeicherung illegal bleiben (As held by the CJEU in Schecke: Joined Cases C-92/09 and C-93/09 Volker und Markus Schecke (2010) paras. 81-86).

Über die auch als Quick Freeze bekannte Methode der umgehenden Sicherung von Daten können Strafverfolgungsbehörden Telekommunikationsanbieter anweisen, Standort- und Verkehrsdaten für einen längeren Zeitraum zu speichern, wenn diese Daten bei der Untersuchung eines bestimmten Verbrechens von Nutzen sind (siehe weitergehend: Elspeth Guild and Sergio Carrera, ‘The political and judicial life of metadata: Digital rights Ireland and the trail of the data retention directive’ (2014) 65 CEPS Liberty and Security in Europe Papers, p. 2). Gezielte Ermittlungstechniken, wie das umgehende Sichern von Daten, greifen in geringerem Maße in die Grundrechte ein, da sie nicht die gesamte europäische Bevölkerung unter Beobachtung stellen. Einige der gezielten Ermittlungsmethoden, die den Strafverfolgungsbehörden zur Verfügung stehen, werden jedoch nach wie vor kaum ausgeschöpft, während es wenig Anhaltspunkte dafür gibt, dass sie bei der Verbrechensbekämpfung weniger erfolgreich sind. Tatsächlich haben Studien gezeigt, dass die Strafverfolgungsbehörden Straftaten mit gezielten Methoden ebenso wirksam ermitteln wie mit pauschalen Maßnahmen. Eine Studie des Max-Planck-Instituts für ausländisches und internationales Strafrecht aus dem Jahr 2012 ergab, dass eine anlasslose Datenspeicherung im Vergleich zu weniger einschneidenden Ermittlungsmethoden nicht zu einer höheren Aufklärungsraten führte.

Der EDSB hat die Kommission bereits 2011 kritisiert, weil sie es versäumt hat, weniger invasive Alternativen zur Datenspeicherung zu untersuchen (European Data Protection Supervisor, ‚Opinion of the European Data Protection Supervisor on the Evaluation report from the Commission to the Council and the European Parliament on the Data Retention Directive (Directive 2006/24/EC‘ (23 September 2011) paras. 53-57). Vor diesem Hintergrund ist es auffällig, dass im Reflexionsprozess des Rates keine Alternativen zur Vorratsdatenspeicherung erörtert wurden und dass die Pläne für die neue Studie der Kommission zur Vorratsdatenspeicherung deutlich machen, dass keine zielgerichteten Untersuchungstechniken untersucht werden sollen. Ohne die Evaluierung weniger in die Privatsphäre eingreifender Alternativen und den Nachweis des Nettonutzens der Vorratsdatenspeicherung im Vergleich zu diesen Alternativen kann die absolute Notwendigkeit von Vorratsdatenspeicherungspraktiken nicht bewertet werden, sodass eine anlasslose Vorratsdatenspeicherung illegal bleiben wird.

4.3 Verfügbar und praktisch heißt nicht gleich notwendig

Die Verfügbarkeit einer riesigen Datenmenge für Strafverfolgungsbehörden könnte den falschen Eindruck erwecken, dass eine Vorratsdatenspeicherung notwendig sei. Die bloße Annehmlichkeit der Vorratsdatenspeicherung für die Strafverfolgungsbehörden könnte einen Anreiz für die Strafverfolgungsbehörden darstellen, von der Vorratsdatenspeicherung Gebrauch zu machen, anstatt ihre derzeit bestehenden Ermächtigungen auszuloten, wie z.B. den Zugriff auf Daten aufgrund eines Gerichtsbeschlusses, der in den meisten Fällen ausreichend sein dürfte (wie bereits hier dargelegt: European Digital Rights Initiative, ‚Shadow Evaluation Report on the Data Retention Directive (2006/24/EC)“ (17 April 2011) p. 12). Es liegt auf der Hand, dass diese Alternativen für die Strafverfolgung weniger praktisch sind. Die Annehmlichkeit ist jedoch offensichtlich nicht die höchste oder einzige Priorität, wenn es darum geht, die Notwendigkeit einer solchen in die Privatsphäre eingreifenden Praxis zu beurteilen. Die bloße Zweckmäßigkeit für die Strafverfolgung beweist nicht, dass die Vorratsdatenspeicherung ein notwendiges Instrument für die Verhinderung oder Ermittlung von Straftaten ist.

4.4 Freiwillige Datenspeicherung

Telekommunikationsdaten, die für Strafverfolgungsbehörden zur Untersuchung von Straftaten notwendig sein könnten, werden derzeit bereits von Telekommunikationsanbietern für ihre eigenen Geschäftszwecke wie z.B. Rechnungsstellung, Betrugsbekämpfung und individuelle Netzbeschwerden aufbewahrt. Die Strafverfolgungsbehörden haben bereits die Befugnis, mit einem Durchsuchungsbefehl Zugang zu diesen Daten zu verlangen. Wenn die Daten für laufende Ermittlungen relevant sein könnten, aber zu früh gelöscht würden, können die Strafverfolgungsbehörden auf Antrag eine umgehende Sicherung der Daten anordnen. Die weit verbreitete Praxis der freiwilligen Datenspeicherung lässt weitere Zweifel an der Notwendigkeit und den marginalen Vorteilen einer obligatorischen Datenspeicherung aufkommen. Die freiwillige Vorratsdatenspeicherung für kommerzielle Zwecke wirft jedoch auch ernsthafte Bedenken hinsichtlich des Datenschutzes auf.

Obwohl diese Form der freiwilligen Datenspeicherung in der Praxis weniger zentralisiert und daher vielleicht weniger zugänglich für die Strafverfolgungsbehörden ist, birgt sie für Einzelpersonen dieselben Risiken wie die Pflicht zur Datenspeicherung auf Vorrat. In seiner Rechtsprechung betrachtet der EUGH eine solche Vorratsspeicherung kommerzieller Daten als eine Einschränkung der in Artikel 5 Absatz 1 der ePrivacy-Richtlinie festgelegten Vertraulichkeit der Kommunikation (siehe bspw.: Case C-119/12 Probst (2012) para. 23; Joined Cases C-203/15 and C-698/15 Tele2/Watson (2016) para. 89). Da es sich bei diesen Datenspeicherungen um Ausnahmen handelt, erfordern sie eine strenge Auslegung, ganz gleich ob es sich dabei um eine Datensicherung auf der Grundlage von Erwägungsgrund 29 wie z.B. Rechnungsstellung, Feststellung von technischen Störungen in Einzelfällen oder aber eine Einschränkung nach Artikel 15 Absatz 1 wie der anlasslosen Vorratsdatenspeicherung handelt.

Die bevorstehende ePrivacy-Verordnung wird zwangsläufig zusätzliche Bestimmungen für die erlaubte Verarbeitung im Vergleich zu Artikel 6 der ePrivacy-Richtlinie hinzufügen, was möglicherweise zu einer Zunahme der freiwilligen Datenspeicherung führen wird. Es muss jedoch klar bleiben, dass diese Arten der Verarbeitung als Ausnahmen von der Vertraulichkeit der Kommunikation betrachtet werden und daher eine strenge Auslegung in Übereinstimmung mit der Rechtsprechung des EUGH erfordern.

Die Tatsache, dass Telekommunikationsanbieter freiwillig eine große Menge von Kommunikationsdaten für ihre kommerziellen Zwecke aufbewahren, wirft die Frage auf, ob es überhaupt noch zusätzlichen Bedarf für eine verpflichtende Datenspeicherung gibt. Gleichwohl hat auch die freiwillige Vorratsdatenspeicherung schwerwiegende nachteilige Auswirkungen auf die Grundrechte und -freiheiten der EU-Bürger, sodass die strikte Notwendigkeit einer solchen freiwilligen Vorratsdatenspeicherung ebenfalls kritisch beurteilt werden muss.

5. Probleme mit der Wirksamkeit der Vorratsdatenspeicherung

Ferner lässt an der Notwendigkeit der Vorratsdatenspeicherung zweifeln, dass nicht einmal bewiesen ist, ob die Vorratsdatenspeicherung tatsächlich ein wirksames Mittel zur Bekämpfung schwerer Kriminalität ist. Wenn die Maßnahmen kein wirksames Mittel zur Bekämpfung der schweren Kriminalität sind, kann die Gesetzgebung auch nicht notwendig sein. In ihrer Bewertung der Richtlinie über die Vorratsdatenspeicherung verwies die Kommission darauf, dass die Vorratsdatenspeicherung eine „sehr wichtige Rolle“ bei strafrechtlichen Ermittlungen spiele und manchmal „unverzichtbar“ sei (European Commission, ‚Evaluation report on the Data Retention Directive (Directive 2006/24/EC)‘ (18 April 2011) pp. 23, 31). Wie der EDSB hervorhob, stützt sich dieses Argument auf die Auffassung der Mehrheit der Mitgliedstaaten, was eher einen Wunsch als einen Beweis dafür darstellt, dass die Daten ein wirksames Mittel zur Verbrechensbekämpfung darstellen (European Data Protection Supervisor, ‚Opinion of the European Data Protection Supervisor on the Evaluation report from the Commission to the Council and the European Parliament on the Data Retention Directive (Directive 2006/24/EC‘ (23 September 2011)). In den Plänen für die neue Studie der Kommission wird erneut eine kritische Bewertung der Wirksamkeit der Praktiken der Datenspeicherung ausgespart.

Bei der Vorratsdatenspeicherung geht man oft davon aus, dass die gespeicherten Daten erstens korrekt sind und zweitens zu einem korrekten Ergebnis führen. Es gibt jedoch verschiedene Beispiele dafür, dass Telekommunikationsdaten selbst entweder ungenau oder falsch sind oder falsch interpretiert werden. Datenfehler, ungenaue Interpretationen und falsch positive Ergebnisse werfen ernsthafte Fragen über die Wirksamkeit der Vorratsdatenspeicherung bei der Untersuchung von Schwerverbrechen auf.

5.1 Datenfehler

Im Juni 2019 wurde aufgedeckt, dass falsche Telekommunikationsdaten in mehr als 10.000 Strafverfahren in Dänemark seit 2012 als Beweismittel herangezogen wurden. Die Datenfehler wurden durch ein fehlerhaftes IT-System verursacht, das die von verschiedenen Anbietern aufgezeichnete Telekommunikationsdaten in ein einheitliches Format konvertierte. Einige Daten gingen während des Konvertierungsprozesses verloren, was zu unvollständigen Anrufprotokollen führte. Das System zeichnete Standortdaten falsch auf, was manchmal zu Abweichungen von Hunderten von Metern führte. Diese schweren Fehler bedeuteten, dass unschuldige Personen fälschlicherweise mit einem Tatort in Verbindung gebracht werden konnten, während Kriminelle fälschlicherweise von den Ermittlungen ausgeschlossen wurden. Tatsächlich wurden 32 Personen aus der Untersuchungshaft entlassen, weil die Standortdaten als Beweismittel in ihren Fällen unzuverlässig waren.

Fehler bei der Aufzeichnung von IP-Adressen haben ebenfalls zu unrechtmäßigen Verhaftungen geführt. Um die von den Telekommunikationsanbietern gespeicherten IP-Adressen in verwertbare Beweise für die Strafverfolgung umzuwandeln, müssen sie manuell neu eingetippt werden. Wie der British Interception of Communications Commissioner berichtet, kommt es in diesem Prozess „weit öfter als hinnehmbar“ zu Fehlern. Dies gilt insbesondere bei schweren Verbrechen, wie z.B. in Fällen von Kindesmissbrauch, bei denen sich die Strafverfolgung eher auf Seiten der Geschwindigkeit bewegt als die Richtigkeit der Beweise sicherzustellen.

Diese Datenfehler machen deutlich, dass das blinde Vertrauen in die Genauigkeit und Objektivität technologischer Lösungen fehl am Platze ist. Dies wiederum lässt nicht nur Zweifel an der Notwendigkeit und Wirksamkeit einer in die Privatsphäre eingreifenden Praxis wie der Vorratsdatenspeicherung aufkommen, sondern macht auch die schwerwiegenden Auswirkungen der Vorratsdatenspeicherung auf die Grundfesten eines Strafrechtssystems deutlich.

5.2 Falschpositive

Es wird zwar oft argumentiert, dass eine anlasslose Datensammlung besonders nützlich ist, wenn die Strafverfolgungsbehörden in einem Fall keine Verdächtigen haben, aber es besteht eindeutig die Gefahr, dass eine solche Anwendung von Vorratsdatenspeicherungspraktiken zu Falschpositiven führt. Standortdaten, die in der Nähe eines Tatorts aufgezeichnet wurden, können fälschlicherweise eine Verbindung zu der Straftat implizieren. In den Vereinigten Staaten wurde ein Mann in einer strafrechtlichen Untersuchung nur deshalb verdächtig, weil die Standortdaten seines Smartphones in der Nähe des Tatorts eines Einbruchs aufgezeichnet wurden, wie NBC News berichtete. Sich auf Telekommunikationsdaten zu verlassen, um nach Verdächtigen zu „fischen“, stellt einen grundlegenden Wandel in der Art und Weise dar, wie Strafverfolgungsbehörden Verbrechen untersuchen und birgt das Risiko, den Grundsatz der Unschuldsvermutung zu untergraben.

5.3 Der besorgniserregende Trend zum „technological solutionism“

Bevor irgendein Vorschlag zur Legitimierung der Praktiken der Vorratsdatenspeicherung vorgelegt wird, ist es unerlässlich, ihre Wirksamkeit im Hinblick auf das Potenzial der oben genannten Fehler kritisch zu untersuchen. Die Verlockung der Technologie an sich kann das Streben nach Datensammlung nicht rechtfertigen. Technologie ist nicht von Natur aus korrekt, objektiv oder wirksamer als nicht-technische Lösungen. Genau diese Annahme durchzieht jedoch seit langem die Diskussionen über die Bekämpfung von Sicherheitsbedrohungen und in jüngster Zeit auch über die Bekämpfung der Coronavirus-Krise.

Regierungen erforschen verschiedene digitale Werkzeuge als Strategie zur Bewältigung der Pandemie. Die mögliche Umsetzung dieser digitalen Strategien (hauptsächlich in Form von Tracing-Apps) hat zu zahlreichen Diskussionen über die Wirksamkeit dieser Technologien und ihre Auswirkungen auf die Privatsphäre geführt. Experten mahnen dazu, eine Strategie zu vermeiden, die auf einem „technological solutionism“ basiert, d.h. auf der Annahme, dass Technologie jede komplexe Situation für die Menschheit lösen kann.

Abgesehen von der möglichen Implementierung von Tracing-Apps hat die Kommission vorgeschlagen, Telekommunikations-Metadaten in großem Umfang zu sammeln und zu analysieren, um das Virus zu bekämpfen. Die Kommission hat jedoch wieder einmal nicht bewiesen, dass solche Daten tatsächlich eine nützliche Information zur Bekämpfung des Virus darstellen. Im Falle der Tracing-Apps haben Experten die Wirksamkeit in Frage gestellt, da es unmöglich ist, die Nähe zwischen Personen über Bluetooth zu bestimmen und korrekte Schlüsse über die mögliche Übertragung des Virus zu ziehen.

Im Falle der Telekommunikationsdaten haben die Experten vor allem die Erforderlichkeit der Verwendung solcher Daten in Frage gestellt. Der niederländische Gesetzgeber hat eine Änderung des Telekommunikationsgesetzes vorgeschlagen, um die Sammlung und Analyse von Telekommunikationsdaten zur Bekämpfung der Pandemie zu legalisieren. Die niederländische Datenschutzbehörde hat jedoch davor gewarnt, dass die Notwendigkeit dieser Änderung nicht ausreichend nachgewiesen wurde. Darüber hinaus hat der Gesetzgeber weder weniger aufdringliche Alternativen erörtert, noch hat er offengelegt, welche spezifischen Daten gesammelt werden müssen und für welches Ziel. Der Gesetzgeber muss jedoch bereits vor der Beurteilung der Notwendigkeit einer solchen Änderung nachweisen, dass die Verwendung von Telekommunikationsdaten tatsächlich ein wirksames Mittel zur Bekämpfung des Virus ist. Bei einer solchen Beurteilung sind auch die Risiken von Datenfehlern oder Fehlinterpretationen zu berücksichtigen. Beispielsweise kann es vorkommen, dass Personen durch weite Teile des Landes fahren, sich aber in ihren Fahrzeugen aufhalten. Die Analyse ihrer Telekommunikationsdaten wird fälschlicherweise den Eindruck erwecken, dass sie zur Verbreitung des Virus in bestimmten Regionen beigetragen haben.

Obwohl die Verwendung von Telekommunikationsdaten zur Bekämpfung einer Pandemie eine andere Abwägungsübung erfordert als ihre Verwendung zur Bekämpfung der Schwerkriminalität, wirft der Ansatz der Kommission und der nationalen Regierungen ähnliche Bedenken auf. Der Eifer der Kommission, Telekommunikationsdaten zu nutzen, und die Annahme, dass dies ein wirksamer und notwendiger Weg ist, um verschiedene Probleme zu lösen, ohne weniger invasive Alternativen zu erkunden, zeigt eine besorgniserregende Tendenz zum „technological solutionism“.

6. Ein inhärent hohes Datensicherheitsrisiko

Verfahren der Datenaufbewahrung vervielfachen die Risiken für die Datensicherheit, darunter Datenlecks, Missbrauch und Fehlverwendung. Es liegt auf der Hand, dass je mehr Daten gespeichert werden, desto mehr Daten können bei einem Bruch der Sicherheitsvorkehrungen missbraucht werden oder abhanden kommen. Da Telekommunikationsanbieter über riesige Mengen sensibler Daten verfügen, sind sie besonders attraktive Ziele für komplexe und ausgeklügelte Cyberangriffe. Die unbefugte Offenlegung von oder der unbefugte Zugriff auf gespeicherte Telekommunikationsdaten verschlimmert die mit der Vorratsdatenspeicherung verbundenen Risiken für die Privatsphäre erheblich. Dies veranlasste den EUGH zu der Forderung, dass jede Maßnahme zur Vorratsdatenspeicherung gleichzeitig wirksame Schutzmaßnahmen gegen Missbrauch und unrechtmäßigen Zugang zu den gespeicherten Daten vorsieht (Joined Cases C-293/12 and C-594/12 Digital Rights Ireland (2014) para. 54; Joined Cases Joined Cases C-203/15 and C-698/15 Tele2/ Watson (2016) para. 122; Opinion 1/15 (2017) para. 54.). Es ist jedoch wichtig, darauf hinzuweisen, dass die Vorratsspeicherung von Kommunikationsdaten von Natur aus anfällig für Sicherheitsverstöße ist, unabhängig davon, welche Schutzvorkehrungen getroffen werden, um dies zu verhindern.

6.1 Cyberangriffe

Der jüngste Jahresbericht der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) dokumentierte 157 bedeutende Sicherheitsvorfälle im Telekommunikationssektor in der gesamten EU im Jahr 2018, wovon 5% auf Cyberangriffe entfielen (dies entspricht etwa 8 bedeutenden Sicherheitsverletzungen) (European Union Agency for Network and Information Security, ‘Annual Report Telecom Security Incidents 2018’ (2019) p. 9). Forscher von Cybereason entdeckten einen groß angelegten, weltweiten Angriff gegen Telekommunikationsunternehmen, bei dem Anrufprotokolle von bestimmten „high-value targets“ aus mindestens zehn Telekommunikationsnetzen gestohlen wurden. Im Jahr 2017 wurde der spanische Telekommunikationsanbieter Telefonica Opfer eines globalen Ransomware-Angriffs. Die Auswirkungen des Angriffs waren zwar begrenzt, aber er verdeutlicht die Verwundbarkeit selbst großer Anbieter mit hoch entwickelten Sicherheitsvorkehrungen.

6.2 Missbrauch und Fehlanwendung durch Behörden

Über Cyberangriffe hinaus besteht auch die Gefahr, dass auf Vorrat gespeicherte Daten von Behörden missbraucht und fehlerhaft verwendet werden. Die bloße Verfügbarkeit von Kommunikationsdaten kann einen Anreiz für Strafverfolgungsbehörden schaffen, diese Daten auch dann zu verwenden, wenn sie nicht absolut notwendig sind. Fälle, in denen die Gesetzgebung zur Vorratsdatenspeicherung missbraucht wurde, um Zugang zu journalistischen Quellen zu erhalten, sind gut dokumentiert. Es besteht auch die Gefahr, dass auf Vorrat gespeicherte Daten für Zwecke verwendet werden, die in der Gesetzgebung, die eine solche Vorratsspeicherung vorschreibt, ursprünglich nicht vorgesehen waren. Beispielsweise wurden Telekommunikations-Metadaten zunehmend zur Steuerung von Migration oder zur Bekämpfung der COVID-19-Pandemie verwendet, womit die Massenüberwachung von Telekommunikationsdaten über die Grenzen der Untersuchung von schweren Straftaten hinaus normalisiert wird. Aufgezeichnete Daten, die den Strafverfolgungsbehörden zur Verfügung stehen, stehen auch den Geheimdiensten zur Verfügung, was es schwierig (wenn nicht gar unmöglich) macht, nachzuvollziehen, für welche Zwecke sie verwendet werden.

6.3 Ein hoher Preis

Jede Praxis der Datenspeicherung birgt diese immanenten Sicherheitsrisiken, unabhängig von bestehenden Schutzmaßnahmen. Wie EDRi im Jahr 2011 sagte, „nur gelöschte Daten sind sichere Daten“ (European Digital Rights Initiative, ‘Shadow Evaluation Report on the Data Retention Directive (2006/24/EC)’ (17 April 2011) p. 8). Das inhärent hohe Risiko von Sicherheitsverletzungen ist ein hoher Preis, der für jede Form der Datenvorhaltung zu zahlen ist und der eindeutig nicht durch den minimalen Nutzen, den sie mit sich bringt, ausgeglichen wird, da die Notwendigkeit und Wirksamkeit der Datenvorhaltung zu Strafverfolgungszwecken nach wie vor unbewiesen ist.

7. Ein falscher Ruf nach Harmonisierung

Bei den Bemühungen, eine europäische Gesetzgebung zur Vorratsdatenspeicherung wiederzubeleben, wurde wiederholt betont, dass es im Interesse der Rechtssicherheit von entscheidender Bedeutung ist, einen harmonisierten europäischen Rahmen für die Vorratsdatenspeicherung zu verabschieden. Die Verpflichtungen zur Vorratsdatenspeicherung unterscheiden sich in den EU-Mitgliedstaaten erheblich, sowohl hinsichtlich ihres Umfangs als auch ihres rechtlichen Status. Während des Reflexionsprozesses des Rates argumentierte Europol, dass fragmentierte nationale Vorschriften eine wirksame Strafverfolgung behinderten und drängte daher auf die Annahme eines harmonisierten Ansatzes für die Vorratsdatenspeicherung, entweder als neuer Rechtsakt oder durch die überarbeitete ePrivacy-Verordnung. Der EU-Koordinator für Terrorismusbekämpfung schlug in ähnlicher Weise die Verabschiedung eines harmonisierten EU-Instruments zur Vorratsdatenspeicherung vor, um in der gesamten EU gleiche Ausgangsbedingungen für alle Beteiligten zu schaffen. Der Rat stellte in seiner Schlussfolgerung fest, dass die Fragmentierung der nationalen Verfahren zur Vorratsdatenspeicherung dazu führen kann, dass die Bemühungen der Strafverfolgungsbehörden insbesondere in grenzübergreifenden Fällen eingeschränkt werden und betonte die Notwendigkeit, eine EU-Regelung für die Vorratsdatenspeicherung zu schaffen.

Während die mangelnde Harmonisierung sowohl den Bürger:innen als auch den Telekommunikationsanbietern und Strafverfolgungsbehörden in der Tat von Nachteil ist, ist eine einseitige Konzentration auf einen neuen europäischen Rahmen für die Vorratsdatenspeicherung als Lösung irreführend. Häufig basiert der Ruf nach Harmonisierung auf der fälschlichen Annahme, dass der derzeitige EU-Ansatz zur Vorratsdatenspeicherung unklar sei, was die Unsicherheit schürt. Der EUGH hat jedoch klar festgelegt, welche Schutzmaßnahmen umgesetzt werden müssen, damit die Vorratsdatenspeicherung als absolut notwendig und verhältnismäßig angesehen werden kann. Eine Anpassung der nationalen Vorratsdatenspeicherungsverfahren an die vom Gerichtshof aufgezählten Anforderungen würde die gewünschte Harmonisierung bewirken.

Die EU-Mitgliedstaaten haben bisher nur minimalen politischen Willen gezeigt, die Urteile des Gerichtshofs umzusetzen, wobei viele von ihnen illegale Vorratsdatenspeicherungsgesetze beibehalten haben. Die allgemeine Ignoranz der Urteile des Gerichtshofs zeigt sich auch im Reflexionsprozess des Rates, der überhaupt keine Vorschläge für eine Datenspeicherungspraxis vorgelegt hat, die in irgendeiner Weise zielgerichtet auf die betreffenden Personen wirkt. Die Europäische Kommission ist zwar gesetzlich verpflichtet dafür zu sorgen, dass die Praktiken der Mitgliedstaaten mit dem EU-Recht vereinbar sind, scheint jedoch nicht bereit zu sein, die Urteile des Gerichtshofs durchzusetzen und hat sich geweigert, Vertragsverletzungsverfahren gegen Mitgliedstaaten mit illegalen Vorratsdatenspeicherungs-Maßnahmen einzuleiten. In den Plänen für die neue Studie der Kommission wird diese Frage wieder einmal übersehen: Während sie die Notwendigkeit eines harmonisierten Rahmens betont, ignoriert sie die Durchsetzung der Urteile des Gerichtshofs als Mittel zur Gewährleistung der Harmonisierung.

Unter dem Vorwand der Harmonisierung scheinen die Mitgliedstaaten bestrebt zu sein, die Rechtsprechung des Gerichtshofs zu umgehen und eine anlasslose Datenspeicherung zu legitimieren und ignorieren damit EU-Recht. Der Druck zur Vorratsdatenspeicherung findet auf mehreren Ebenen statt: Es gibt nicht nur Bemühungen, eine neue EU-Gesetzgebung zur Vorratsdatenspeicherung einzuführen oder ein günstigeres Umfeld für die Vorratsdatenspeicherung in der überarbeitetene ePrivacy-Verordnung herbeizuführen, sondern der EUGH sieht sich auch politischem Druck ausgesetzt, seine Urteile zu revidieren. Derzeit sind vier Fälle vor dem Gerichtshof anhängig, in denen es um Datenspeicherungsregelungen in Frankreich, Belgien und dem Vereinigten Königreich geht (Cases C-623/17, C-511/18 and C-512/18, and C-520/18.) und die ähnliche Fragen aufwerfen wie die, über die der Gerichtshof bereits in der Rechtssache Tele2/Watson entschieden hat. (Die Entscheidung ist inzwischen gefallen, dazu mehr hier.)

Wenn eine harmonisierte Gesetzgebung zur Datenspeicherung gefordert wird, ist es Sache der Strafverfolgungsbehörden, ihre minimalen Nutzen im Vergleich zu weniger einschneidenden alternativen Maßnahmen nachzuweisen sowie ihre Verhältnismäßigkeit angesichts der weitreichenden negativen Folgen für die Grundrechte, die durch inhärent hohe Sicherheitsrisiken noch verschärft werden. An die Notwendigkeit einer Harmonisierung zu appellieren, um die Einführung eines Mittels für Vorratsdatenspeicherung zu untermauern, ist verfehlt, da die Durchsetzung der Urteile des Gerichtshofs in ähnlicher Weise eine Harmonisierung bewirken kann und im Hinblick auf die Einhaltung des EU-Rechts eindeutig die bevorzugte Lösung darstellt. In seinen Schlussanträgen zu den anhängigen Rechtssachen wiederholte der Generalanwalt noch einmal, dass eine anlasslose Vorratsdatenspeicherung mit dem EU-Recht unvereinbar ist, und betonte, dass nicht die praktische Effektivität der Maßstab für nationale Sicherheitsmaßnahmen ist, sondern vielmehr die rechtliche Effektivität, d.h. die Achtung der Rechtsstaatlichkeit und der Grundrechte (Case C-623/17 Privacy International (2020), Opinion of AG Campos Sanchez-Bordona, para. 39). Der EGMR hat kürzlich auch darauf hingewiesen, dass er die Vorratsdatenspeicherung nach wie vor verurteilt; in der Rechtssache Gaughran/Vereinigtes Königreich vertrat er die Auffassung, dass eine Vorratsdatenspeicherung ohne jegliche Schutzvorkehrungen das Recht auf Privatsphäre verletzt (Gaughran v. the United Kingdom, no. 45245/15, ECHR 2020). Da die höchsten Gerichte Europas die Mitgliedstaaten wiederholt daran erinnern, dass eine anlasslose Datensammlung rechtswidrig ist, sollte es den Mitgliedstaaten nicht gestattet sein, ihre eigenen verfassungsmäßigen Auflagen zu umgehen. Solange die absolute Notwendigkeit von Verfahren zur Vorratsdatenspeicherung nicht bewiesen ist und kein Vorschlag zu einer wirklich zielgerichteten Datenerhebung ernsthaft in Erwägung gezogen wird, werden Bestrebungen, die Vorratsdatenspeicherung wieder von den Toten auferstehen zu lassen, weiterhin gegen EU-Recht und die Grundrechte von über 500 Millionen Europäern verstoßen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

0 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.