Privacy International ist eine Menschenrechtsorganisation mit Sitz in London, die sich für ein Menschenrecht auf Privatsphäre einsetzt. Dieser Text erschien zunächst auf der Webseite von PI. Übersetzung von DeepL und Jana Ballweber, Überarbeitung von Andre Meister.
Am 6. Oktober verkündete der Europäische Gerichtshof seine Urteile zu drei Klagen gegen Vorratsdatenspeicherung aus dem Vereinigten Königreich (Privacy International), Frankreich (La Quadrature du Net, French Data Network und andere) und Belgien (Ordre des barreaux francophones et germanophone und andere).
Im Folgenden beantworten wir einige der wichtigsten Fragen, die sich vor allem auf die Urteile über das Vereinigte Königreich und Frankreich und Belgien beziehen.
Worum geht es in der Entscheidung?
Der EuGH hat entschieden, dass die Praktiken der Mitgliedstaaten zur massenhaften Speicherung und Sammlung von Daten zu Zwecken der nationalen Sicherheit mit dem EU-Recht vereinbar sein müssen und daher den Datenschutzgesetzen der Europäischen Union unterliegen müssen.
Das Urteil ist besonders bedeutsam, weil es klarstellt, dass EU-Recht auch im Kontext der nationalen Sicherheit gilt, wenn das Überwachungsgesetz eines Mitgliedsstaates einen Telekommunikationsanbieter zur Verarbeitung personenbezogener Daten verpflichtet.
Nationale Überwachungsgesetze im Vereinigten Königreich, Frankreich und anderen europäischen Ländern verlangen von Telekommunikationsunternehmen und Diensteanbietern, große Mengen personenbezogener Daten für eine spätere Erhebung oder einen anderen Zugriff durch Sicherheitsbehörden und Geheimdienste kontinuierlich zu speichern.
Das Urteil hat erneut bestätigt, dass eine allgemeine und unterschiedslose Speicherung und Sammlung von Kommunikationsdaten mit den grundlegenden Menschenrechten auf Privatsphäre, Datenschutz und Meinungsfreiheit unvereinbar ist.
Die Regierungen der EU-Länder sind gesetzlich verpflichtet, dafür zu sorgen, dass die Vorratsspeicherung, der Zugang und die anschließende Nutzung von Daten bestimmten Anforderungen entsprechen. Diese Anforderungen, die allgemein als „Schutzmaßnahmen“ bezeichnet werden, sind von entscheidender Bedeutung, um sicherzustellen, dass ein angemessenes Gleichgewicht zwischen der Privatsphäre des Einzelnen und dem Schutz der Öffentlichkeit besteht.
Um welche Art von Daten geht es?
In diesen Fällen geht es ausschließlich um verschiedene Arten von Kommunikationsdaten. Zu den Kommunikationsdaten gehören Verkehrs-, Standort-, Teilnehmer- und alle anderen Daten einer Kommunikation, mit Ausnahme des eigentlichen Inhalts.
Kommunikationsdaten können Informationen über Kontakte sowie über das Wer, Was, Wann und Wo unserer Kommunikationen liefern. Die Daten können z.B. auch Kartensuchen, besuchte Webseiten, Standortinformationen sowie Informationen über jedes an ein Netzwerk angeschlossene Gerät enthalten.
Wenn Kommunikationsdaten über eine oder mehrere Personen gesammelt werden, sind sie potenziell nicht weniger sensibel als der eigentliche Inhalt. Diese Daten ermöglichen es, die Identität von Personen zu ermitteln, mit denen ein Benutzer kommuniziert hat und mit welchen Mitteln die Kommunikation stattfand, den Zeitpunkt der Kommunikation und die Orte, von denen die Kommunikation ausging. Wichtig ist auch, dass die Kommunikationsdaten Aufschluss über die Häufigkeit der Kontakte des Benutzers mit bestimmten Personen während eines bestimmten Zeitraums geben.
In allen drei Fällen bekräftigte der EuGH, dass die Speicherung oder Sammlung von Verkehrs- und Standortdaten einen „besonders schwerwiegenden“ Eingriff in die Privatsphäre darstellt.
Wie kommen Behörden an diese Daten?
Ob es sich um Ihren örtlichen Supermarkt, Ihren Telefondienstanbieter oder eine Taxi-App handelt, heutzutage halten Unternehmen riesige Datenmengen über Sie bereit. Das EU-Recht verlangt von den Regierungen, Ihre Privatsphäre zu schützen. Neben anderen Verpflichtungen werden die Unternehmen aufgefordert, die Dauer der Datenspeicherung gesetzlich auf ein striktes Minimum zu beschränken.
Das ist ein vernünftiger Schutz. Denn je länger Daten aufbewahrt werden, desto wahrscheinlicher ist es, dass sie missbraucht, verloren, gestohlen, weitergegeben, für Profile verwendet und sogar zur Nachverfolgung genutzt werden können.
Aber obwohl die minimale Dauer der Datenspeicherung EU-Recht ist, haben einige Regierungen Unternehmen (unvernünftigerweise) gezwungen, Ihre Daten viel länger aufzubewahren. Das wird als verpflichtende Vorratsdatenspeicherung bezeichnet.
Wenn eine solche Datenspeicherung allgemein und unterschiedslos ist, bedeutet dies, dass sensible Daten aufbewahrt werden, auch wenn Sie keines Verbrechens verdächtigt werden. Im Grunde handelt es sich um eine Form der Massenüberwachung. Wie im Fall anderer Massenüberwachungen auch, bedeutet dies, dass wir alle wie Verdächtige behandelt werden.
In einer Demokratie sollte eigentlich das Prinzip „Kein Verdacht, keine Überwachung“ gelten. Die Polizei und andere staatliche Organe haben bereits massive Befugnisse. Eine allgemeine und unterschiedslose Datenspeicherung geht einen Schritt zu weit und stellt eine unverhältnismäßige Bedrohung für unsere Privatsphäre dar.
In den Fällen Frankreichs und Belgiens ging es um die allgemeine und unterschiedslose Speicherung von Daten.
Im britischen Fall ging es um eine andere Form der Überwachung – das allgemeine und unterschiedslose Sammeln von Daten. Telekommunikationsunternehmen könnten gezwungen werden, Massenkommunikationsdaten direkt an die britischen Geheimdienste zu liefern. Das bedeutet, dass die britischen Geheimdienste die Daten selbst aufbewahren würden.
Was hat das mit Privatsphäre zu tun?
Speicherung: Die allgemeine und unterschiedslose Vorratsdatenspeicherung bedroht Ihre Privatsphäre in mehrfacher Hinsicht. Sie setzt sich über andere EU-Datenschutzgesetze hinweg, die darauf abzielen, die Dauer der Aufbewahrung Ihrer Daten durch Unternehmen minimal zu halten. Wenn Daten länger als nötig aufbewahrt werden, können sie missbraucht, verloren, gestohlen, gemeinsam genutzt, zur Erstellung von Profilen und sogar zur Nachverfolgung Ihrer Person verwendet werden.
Und wenn diese Speicherung allgemein und unterschiedslos erfolgt, bedeutet dies, dass die Regierung nicht einmal unbedingt einen guten Grund haben muss, Unternehmen zur Aufbewahrung der Daten zu zwingen. Stattdessen fordert sie die Unternehmen auf, alle Daten für alle Fälle aufzubewahren.
Das Speichern dieser Daten bedeutet auch, dass Regierungen leichteren Zugang dazu haben. Wenn dieser Zugang nicht durch robuste Sicherheitsvorkehrungen geregelt ist, kann dies zu schwerwiegenden Eingriffen in die Privatsphäre führen.
Sammlung: Eine allgemeine und unterschiedslose Datenerhebung verletzt die Privatsphäre, indem einer Regierung erlaubt wird, alle Daten direkt von einem Unternehmen zu erheben. Dies ist, wie bereits erwähnt, ein erheblicher Eingriff, da Kommunikationsdaten viel Aufschluss über unser Privatleben geben können.
Der EuGH hat festgestellt, dass eine allgemeine und unterschiedslose Sammlung, wie sie im Vereinigten Königreich erfolgte, gleichbedeutend ist mit einem allgemeinen und unterschiedslosen Zugang. Das heißt, sie überspringt jede der Sicherheitsmechanismen, die normalerweise für den Zugang zu Daten gelten sollten. Aus diesem Grund verstößt sie gegen EU-Recht.
Sind das gute Nachrichten?
Die Urteile sind zu begrüßen, sowohl wegen ihrer Anwendung des EU-Rechts auf den Bereich der nationalen Sicherheit als auch wegen ihrer Verurteilung der präventiven, allgemeinen und unterschiedslosen Speicherung oder Sammlung von Kommunikationsdaten.
Die Urteile stellen eine neue Betrachtungsweise der Vorratsdatenspeicherung (und -sammlung) im Bereich der nationalen Sicherheit dar.
Es werden jedoch Ausnahmen für die Vorratsspeicherung eingeführt, wenn eine ernsthafte Gefahr für die nationale Sicherheit besteht, die real und gegenwärtig oder für die Zukunft absehbar ist, solange die Speicherung in diesem Kontext vorübergehend ist.
Das französische und das belgische Urteil ermöglichen auch unterschiedliche Standards für verschiedene Arten von Daten, wie IP-Adressen und Teilnehmerdaten.
Es werden neue Schutzmaßnahmen für die Echtzeitanalyse oder Sammlung von Kommunikationsdaten aufgezählt.
Wir werden abwarten müssen, bis die Fälle an die nationalen Gerichte zurückkehren, um zu sehen, wie sich all diese neuen Standards in der Praxis auswirken.
Warum wurden die drei Fälle zusammen untersucht?
Der Europäische Gerichtshof ist die höchste Justizbehörde der EU, die über die Einhaltung der EU-Verträge durch die Mitgliedstaaten wacht. Alle EuGH-Entscheidungen sind für die EU-Mitgliedstaaten und ihre nationalen Gerichte bindend.
Am 6. Oktober 2020 erließ der EuGH zwei separate Urteile in drei getrennten Fällen, eines für die Klage im Vereinigten Königreich und ein gemeinsames Urteil für die Klagen in Frankreich und Belgien.
Jeder dieser Fälle wurde von ihren jeweiligen nationalen Gerichten an den EuGH verwiesen. Im Fall des Vereinigten Königreichs zum Beispiel war es das Investigatory Powers Tribunal (IPT), das den Fall an den EuGH verwies. Das IPT ist die britische Justizbehörde, die Beschwerden über Überwachungspraktiken entgegen nimmt.
Da die drei Fälle ähnliche Fragen in Bezug auf die Regelungen zur Vorratsdatenspeicherung oder -erhebung in jedem dieser Länder aufwarfen, beschloss der EuGH, sie gemeinsam zu untersuchen, und hielt 2019 eine gemeinsame Anhörung ab.
Obwohl alle drei Fälle ähnliche Fragen betreffen, unterscheiden sich die Fakten doch so sehr, dass der EuGH zwei getrennte, aber eng miteinander verbundene Urteile erlassen hat.
Wie geht es weiter?
Wie bereits erwähnt, hörte der EU-Gerichtshof die Fälle des Vereinigten Königreichs, Frankreichs und Belgiens auf der Grundlage der jeweiligen Anträge (bekannt als „Vorabentscheidungsersuchen“), die von den nationalen Gerichten der einzelnen Länder an den EuGH zur Auslegung einer Frage der Anwendung und Auslegung des EU-Rechts gestellt wurden.
Nachdem der EuGH nun über die Anwendung des EU-Rechts in Bezug auf die Vorratsspeicherung und Sammlung von Massendaten entschieden hat, werden die Fälle zur endgültigen Entscheidung an die nationalen Gerichte zurück verwiesen.
Der Fall des Vereinigten Königreichs wird an den IPT zurück verwiesen, und in ähnlicher Weise wird der französische Fall an das höchste französische Verwaltungsgericht (den Conseil d’État) zurück verwiesen, das den französischen Fall an den EuGH verwiesen hatte. Der belgische Fall geht wiederum zurück an das belgische Verfassungsgericht.
Die Entscheidungen der nationalen Gerichte werden sich an den Feststellungen des EuGH orientieren.
Was bedeutet das für Deutschland?
Auch Deutschland hat seit 2015 ein neues Gesetz zur Vorratsdatenspeicherung. Der EuGH hatte bereits 2016 nationale Gesetze beanstandet, Deutschland hielt trotzdem weiter daran fest.
Gegen das deutsche Gesetz klagen sowohl Datenschützer:innen als auch auch Telekommunikationsanbieter. Weil Gerichte ihnen Recht gaben, hat die Bundesnetzagentur 2017 die Speicherpflicht ausgesetzt, auch wenn sie noch im Gesetz steht. Das Bundesverwaltungsgericht hat diese Aussetzung 2019 bestätigt und das deutsche Gesetz ebenfalls dem EuGH vorgelegt.
Eine Entscheidung des EuGH über das deutsche Gesetz steht noch aus. Die Entscheidung wird sich aber im Rahmen der bisherigen Rechtsprechung bewegen.
Heißt das Urteil nicht, dass der EuGH von seiner strikten Ablehnung der VDS abgerückt ist und zwar diese ohne Anlass verbietet, aber zumindest die Speicherung der IP-Adressen erlaubt zur Bekämpfung schwerer Kriminalität? Somit dürfte doch die deutsche Regierung die Wünsche der Überwachungsbefürwortet erfüllen und es können zumindest die IP-Adressen gespeichert werden, im Kampf gegen Terrorismus und Kindesmissbrauch. Oder Falschparker und illegale Downloads…
Nein, auch vorher hat der EuGH nicht jede VDS strikt abgelehnt, sondern immer strenge Vorraussetzungen definiert. Die hat er jetzt präzisiert, nicht ausgeweitet.
Ganz ehrlich, ich habe es nicht verstanden.
Also: Diese Entscheidung soll besagen, dass eine laufende Speicherung von Daten unter bestimmten, strenge definierten Umständen möglich und erlaubt sein soll. Diese Umstände können Bedrohungen für die nationale Sicherheit oder sonstige begangene oder zu begehende schwere Straftaten sein.
Aber: Die Umstände setzen doch voraus, dass den Sicherheitsbehörden bereits etwas bekannt sein muss, zB die Namen von „Gefährdern“ und deren Kommunikation, oder es wurden bereits (strafbare) Vorbereitungshandlungen für eine Tat begangen, usw. Also konkrete Hinweise auf möglicherweise bevorstehende Taten.
Imho müßten doch solche Umstände ausreichen, dass Behörden schon *gezielt* überwachen, d.h. Metadaten u/o Inhalte gezielt sammeln dürfen? Also etwa das, was der EuGH nun als Ausnahmen vom allgemeinen Verbot der VDS definiert hat. Und gerade, weil schon etwas bekannt ist, es also einen Anlass gibt, ist *dieses* Sammeln eben keine anlassunabhängige, massenhafte VDS.
Warum nun diese Ausnahmen durch den EuGH? Warum nicht ein bedingungsloses Verbot einer VDS?