Schlagwort-Archive: Sicherheit

EuGH erklärt Vorratsdatenspeicherungsrichtlinie für ungültig – kurze Analyse

Mit Urteil vom 8.4.2014 hat der Europäische Gerichtshof (EuGH) die Richtlinie 2006/24/EG zur Vorratsdatenspeicherung (VSRL) für ungültig erklärt (Volltext hier).

Der Tenor (der im Urteil am Ende steht) hier gleich vorab:

Die Richtlinie 2006/24/EG … u?ber die Vorratsspeicherung von Daten … ist ungu?ltig.

Auf die Vorlagefragen des österreichischen Verfassungsgerichtshofs und des irischen High Court möchte ich hier nicht näher eingehen. Sie lassen sich – zumindest nach dem eindeutigen Ergebnis des EuGH – zusammenfassen als: Ist die Richtlinie 2006/24/EG mit den in der EU-Grundrechte-Charta (GRC) niedergelegten Grundrechten vereinbar?

1. Einführung und Auswirkungen

Der EuGH hat sich hier auf die Prüfung von Art. 7 und 8 GRC beschränkt. Diese lauten:

Art. 7 GRC:

Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.

Art. 8 GRC:

(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Diese Daten du?rfen nur nach Treu und Glauben fu?r festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft u?ber die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. …

Zunächst stellt der EuGH fest, um was für Daten es sich bei den nach der VSRL handelt (Rn. 26):

… bei den Daten, die …  auf Vorrat zu speichern sind, [handelt es sich] u. a. um die zur Rückverfolgung und Identifizierung der Quelle und des Adressaten einer Nachricht sowie zur Bestimmung von Datum, Uhrzeit, Dauer und Art einer Nachrichtenübermittlung, … benötigten Daten handelt, zu denen Name und Anschrift des Teilnehmers oder registrierten Benutzers, die Rufnummer des anrufenden Anschlusses und des angerufenen Anschlusses sowie bei Internetdiensten eine IP-Adresse gehören. Aus diesen Daten geht insbesondere hervor, mit welcher Person ein Teilnehmer oder registrierter Benutzer auf welchem Weg kommuniziert hat, wie lange die Kommunikation gedauert hat und von welchem Ort aus sie stattfand. Ferner ist ihnen zu entnehmen, wie häufig der Teilnehmer oder registrierte Benutzer während eines bestimmten Zeitraums mit bestimmten Personen kommuniziert hat.

Diesen Daten spricht der EuGH – in Übereinstimmung mit allen in den letzten Jahren gewonnenen Erkenntnissen – eine hohe Bedeutung zu, auch wenn es sich „nur“ um sog. Metadaten handelt (Rn. 27):

Aus der Gesamtheit dieser Daten können sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert wurden, gezogen werden, etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren.

Dabei sieht der EuGH auch Auswirkungen auf die Ausübung der Meinungsfreiheit (Rn. 28),  der Privatheit und des Datenschutzes (Rn. 29):

Unter solchen Umständen ist es … nicht ausgeschlossen, dass die Vorratsspeicherung der fraglichen Daten Auswirkungen auf die Nutzung der … Kommunikationsmittel durch die Teilnehmer oder registrierten Benutzer und infolgedessen auf deren Ausübung der durch Art. 11 der Charta gewährleisteten Freiheit der Meinungsäußerung hat.

Die in der Richtlinie 2006/24 vorgesehene Vorratsspeicherung der Daten … betrifft unmittelbar und speziell das Privatleben und … fällt zudem unter Art. 8 der Charta …

2. Eingriff

Anschließend stellt der EuGH fest, dass die Speicherung einen Eingriff in Art. 7 und Art. 8 GRC darstellt (Rn. 34-36). Dabei ist bemerkenswert, dass der EuGH hier ausdrücklich differenziert: Schon die Speicherung der Daten stellt einen Eingriff dar. Der Zugriff auf die Daten ist ein weiterer, separater Eingriff! Dieser Befund des EuGH kann nicht genug hervorgehoben werden. Immer wieder hört man nämlich Argumente ähnlich folgender Zusammenfassung:

Die Speicherung von Daten stellt kein Problem dar. Erst durch den Zugriff auf die gespeicherten entsteht ein Grundrechtseingriff. Daher ist es ausreichend, wenn wir den Zugriff auf die Daten erheblich beschränken und sichern.

Diesem Argumentsweg hat der EuGH (hoffentlich endgültig) den Boden entzogen und klargestellt, dass bereits die Speicherung von Daten einer grundrechtlichen Rechtfertigung bedarf (Rn. 34, 35):

Daraus folgt, dass die … Pflicht, … Daten über das Privatleben einer Person und ihre Kommunikationsvorgänge … auf Vorrat zu speichern, als solche einen Eingriff in die durch Art. 7 der Charta garantierten Rechte darstellt.

Zudem stellt der Zugang der zuständigen nationalen Behörden zu den Daten einen zusätzlichen Eingriff in dieses Grundrecht dar …

Diese Eingriffe sieht der EuGH als schwerwiegend an, außerdem könne bei den Betroffenen ein Gefühl der ständigen Überwachung entstehen, wobei die Folgen davon generell auch als „chilling effect“ bezeichnet werden (Rn. 37):

Der … Eingriff … ist … von großem Ausmaß und als besonders schwerwiegend anzusehen. Außerdem ist der Umstand, dass die Vorratsspeicherung der Daten und ihre spätere Nutzung vorgenommen werden, ohne dass der Teilnehmer oder der registrierte Benutzer darüber informiert wird, geeignet, bei den Betroffenen … das Gefühl zu erzeugen, dass ihr Privatleben Gegenstand einer ständigen Überwachung ist.

3. Rechtfertigung

Nächster Schritt ist die Prüfung der Rechtfertigung der Eingriffe. Zunächst stellt der EuGH fest, dass trotz des schwerwiegenden Eingriffs die betroffenen Grundrechte nicht in ihrem Wesensgehalt betroffen sind (Rn. 38-40).

Anschließend beschäftigt sich der EuGH damit, ob der Eingriff gerechtfertigt ist. Dafür prüft er in dem vom EuGH bekannten Drei-Schritt (Legitimer Zweck, Geeignetheit, Erforderlichkeit), wobei die aus der deutschen Prüfung („Angemessenheit“) bekannte Verhältnismäßigkeitsprüfung Teil der Erforderlichkeitsprüfung ist.

Als Ziel der Richtlinie sieht der EuGH die Bekämpfung schwerer Kriminalität und den Schutz der öffentlichen Sicherheit (Rn. 41). Dies ist interessant, weil nach den Erwägungsgründen der VSRL Zielsetzung die Harmonisierung war (zur Rechtsgrundlage der VSRL s. hier). Der EuGH sieht das Ziel als einen legitimen Zweck der Richtlinie an, wobei er auch auf das in Art. 6 GRC niedergelegte Recht auf Freiheit und Sicherheit verweist (Rn. 42-44).

Die Vorratsdatenspeicherung sieht der EuGH auch als geeignet zur Erreichung des Zwecks an (Rn. 46, 49 f.).

Zu der Frage, ob die Vorratsspeicherung … geeignet ist, ist festzustellen, dass … die … auf Vorrat zu speichernden Daten den für die Strafverfolgung zuständigen nationalen Behörden zusätzliche Möglichkeiten zur Aufklärung schwerer Straftaten bieten und insoweit daher ein nützliches Mittel für strafrechtliche Ermittlungen darstellen. Die Vorratsspeicherung solcher Daten kann somit als zur Erreichung des mit der Richtlinie verfolgten Ziels geeignet angesehen werden.

Dabei sollte man nicht vergessen, dass die Geeignetheitsprüfung im Zusammenhang mit Grundrechten keine allzu strengen Anforderungen stellt. Der Umstand, dass bisher in Studien nicht nachgewiesen werden konnte, dass die Vorratsdatenspeicherung einen spürbaren Effekt auf die Kriminalitätsbekämpfung hatte, spielt hier praktisch keine Rolle. Solange auch in Einzelfällen die Vorratsdatenspeicherung bei der Bekämpfung von Kriminalität hilfreich ist/war, dürfte Geeignetheit in diesem Sinne vorliegen. Die generelle Spürbarkeit, die in den Studien verneint wird, ist daher eher ein Element der Erforderlichkeits-/Verhältnismäßigkeitsprüfung.

Die Erforderlichkeit und Verhältnismäßigkeit sieht der EuGH allerdings insgesamt nicht als gegeben an, insbesondere da die VSRL – im Lichte eines erheblichen Eingriffs in die Grundrechte aller EU-Bürger – keinerlei effektive Einschränkungen enthält, wobei der EuGH insbesondere die Gefahr der automatischen Verarbeitung der Daten hervorhebt (Rn. 51 ff.):

Die Bekämpfung schwerer Kriminalität, insbesondere der organisierten Kriminalität und des Terrorismus …  kann … für sich genommen die Erforderlichkeit einer Speicherungsmaßnahme … für die Kriminalitätsbekämpfung nicht rechtfertigen.

Der Schutz des Grundrechts auf Achtung des Privatlebens verlangt …, dass sich die Ausnahmen vom Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut Notwendige beschränken müssen. … Daher muss die fragliche Unionsregelung klare und präzise Regeln für die Tragweite und die Anwendung der fraglichen Maßnahme vorsehen und Mindestanforderungen aufstellen, so dass die Personen, deren Daten auf Vorrat gespeichert wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen.

Das Erfordernis, über solche Garantien zu verfügen, ist umso bedeutsamer, wenn die personenbezogenen Daten … automatisch verarbeitet werden und eine erhebliche Gefahr des unberechtigten Zugangs zu diesen Daten besteht.

… nach Art. 3 dieser Richtlinie in Verbindung mit ihrem Art. 5 Abs. 1 [werden] alle Verkehrsdaten betreffend Telefonfestnetz, Mobilfunk, Internetzugang, Internet-E-Mail und Internet- Telefonie auf Vorrat zu speichern sind. … Außerdem erfasst die Richtlinie … alle Teilnehmer und registrierten Benutzer. Sie führt daher zu einem Eingriff in die Grundrechte fast der gesamten europäischen Bevölkerung.

[Die Speicherung wird] generell auf alle Personen und alle elektronischen Kommunikationsmittel sowie auf sämtliche Verkehrsdaten erstreckt, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen. …

… Zudem sieht [die Richtlinie] keinerlei Ausnahme vor, so dass sie auch für Personen gilt, deren Kommunikationsvorgänge nach den nationalen Rechtsvorschriften dem Berufsgeheimnis unterliegen.

Zum anderen soll die Richtlinie zwar zur Bekämpfung schwerer Kriminalität beitragen, verlangt aber keinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen ist, und einer Bedrohung der öffentlichen Sicherheit; insbesondere beschränkt sie die Vorratsspeicherung weder auf die Daten eines bestimmten Zeitraums und/oder eines bestimmten geografischen Gebiets und/oder eines bestimmten Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, noch auf Personen, deren auf Vorrat gespeicherte Daten aus anderen Gründen zur Verhütung, Feststellung oder Verfolgung schwerer Straftaten beitragen könnten.

Überdies enthält die Richtlinie 2006/24 keine materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung.

… sieht die Richtlinie 2006/24 kein objektives Kriterium vor, das es erlaubt, die Zahl der Personen, die zum Zugang zu den auf Vorrat gespeicherten Daten und zu deren späterer Nutzung befugt sind, auf das angesichts des verfolgten Ziels absolut Notwendige zu beschränken. Vor allem unterliegt der Zugang der zuständigen nationalen Behörden zu den auf Vorrat gespeicherten Daten keiner vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle, deren Entscheidung den Zugang zu den Daten und ihre Nutzung auf das zur Erreichung des verfolgten Ziels absolut Notwendige beschränken soll …

Anschließend kommt einer der Kernsätze des Urteils (Rn. 65):

Aus dem Vorstehenden folgt, dass die Richtlinie 2006/24 keine klaren und präzisen Regeln zur Tragweite des Eingriffs in die in Art. 7 und Art. 8 der Charta verankerten Grundrechte vorsieht. Somit ist festzustellen, dass die Richtlinie einen Eingriff in diese Grundrechte beinhaltet, der in der Rechtsordnung der Union von großem Ausmaß und von besonderer Schwere ist, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Außerdem seien keinerlei Vorkehrungen dafür getroffen, dass die von den TK-Unternehmen gespeicherten Daten auch wirklich sicher sind (Rn. 66 ff.) und nach Ablauf der Speicherfrist unwiderruflich vernichtet werden. Die Richtlinie hätte nach Ansicht des EuGH klare Vorgaben zur sicheren Speicherung der Daten enthalten müssen. Angesichts der in den letzten Jahren vielen bekannt gewordenen Datenlecks ist allerdings unklar, ob solche Sicherungsmaßnahmen dann einen solchen interessanten Honeypot wie die Sammlung von Verkehrsdaten von Millionen von Menschen überhaupt wirksam werden schützen können. Im Grunde müssten – neben anderen Sicherungsvorkehrungen – die Daten – ähnlich wie bei Passwörtern – so stark verschlüsselt werden, dass ein Angreifer selbst bei einem Zugriff auf den Datenpool damit nichts anfangen kann …

Da ein Verstoß gegen Art. 7 und 8 GRC feststand, hat sich der EuGH mit Art. 11 GRC gar nicht mehr befasst.

4. Fazit und Ausblick

Ich persönlich bin von der Klarheit des Urteils überrascht. Wer die Ausführungen des Generalanwalts (s. hier) studiert hat, wird vermutlich ähnlich wie ich die Möglichkeit einer Aufrechterhaltung der Richtlinien unter Vorlagen für möglich oder gar wahrscheinlich gehalten haben. Die VSRL ist nun erst einmal vom Tisch. Allerdings ist nicht zu vergessen, dass der EuGH festgestellt hat, dass die Regelung einer Vorratsdatenspeicherung den Wesensgehalt von Art. 7, 8 GRC nicht so wesentlich antastet, dass sie per se unzulässig ist! Mit den entsprechenden Vorkehrungen – die der EuGH für den Gesetzgeber dankenswerter Weise zumindest beispielhaft konkretisiert hat – könnte eine Vorratsdatenspeicherung also wieder eingeführt werden.

Andererseits ist es schwierig, sich eine Regelung vorzustellen, die den Anforderungen des EuGH genügt. Denn der EuGH hat nicht nur festgestellt, dass der Zugriff auf die Daten geregelt werden muss. Dann hätte der (europäische und nationale) Gesetzgeber viele schöne Einschränkungen vorgesehen, um Personengruppen (wie Geheimnisträger und Unschuldige) auszunehmen, hätte verfahrensrechtliche Anforderungen stellen können (Richtervorbehalt oder ähnliches), Sicherheit der Daten ins Gesetz aufgenommen und in Kürze hätten wir eine neue Richtlinie oder ein neues (nationales) Gesetz. Nein, nach dem Urteil des EuGH muss bereits die Speicherung selbst mit klaren Einschränkungen versehen sein, da sie bereits in hohem Maße und schwerwiegend in die Grundrechte der Bürger eingreift. Mit Spannung dürfen wir daher erwarten, ob die Kommission (alternativ die nationalen Gesetzgeber) sich Lösungswege ausdenkt, die

  • eine Speicherung der Daten nur von Personen vorsieht, die mit schweren Straftaten in Zusammenhang stehen (Rn. 56-58),
  • keine Speicherung von Daten von Berufsgeheimnisträgern vorsieht (Rn. 58),
  • Speicherung nur von Daten vorsieht, die im Zusammenhang mit der öffentlichen Sicherheit stehen, z.B. in einem bestimmten Zeitraum, einem bestimmten geografischen Gebiet oder einem bestimmten Personenkreis (Rn. 59).

Es fällt mir derzeit schwer, mir Normen vorzustellen, die diesen Anforderungen genügen. Denn für die oben dargestellten (eingeschränkten) Situationen, also „punktuelle Überwachungen“, existieren insbesondere in den nationalen Gesetzen schon Normen, in Deutschland z.B. in StPO und TKG. Inwiefern eine „punktuelle Vorratsdatenspeicherung“ darüber hinaus gehen soll/kann/darf, bleibt doch unklar.

Von daher ist das Urteil des EuGH ein klarer Erfolg für die Gegner der Vorratsdatenspeicherung.

heise-online: US-Studie: WLAN-Nutzer überschätzen die eigene Sicherheit

heise-online berichtet über eine US-Studie, in der Wahrnehmung und Wirklichkeit der Sicherheit von WLAN-Netzen untersucht wurde: http://www.heise.de/newsticker/meldung/US-Studie-WLAN-Nutzer-ueberschaetzen-die-eigene-Sicherheit-1359025.html

Und hier der direkte Link zur Pressemitteilung über die Studie: http://www.wi-fi.org/news_articles.php?f=media_news&news_id=1085

Lesetipp: Künnemann, Funknetzwerke und ihre Sicherheit, JurPC Web.-Dok. 62/2009

In der aktuellen Ausgabe der JurPC hat Robert Künnemann einen Überblick über die WLAN und Sicherheitsstandards dargestellt (Künnemann, Funknetzwerke und ihre Sicherheit, JurPC Web.-Dok. 62/2009).

Übersichtlich, kurz gehalten und verständlich beschreibt er WLAN, Sicherheitstechniken und teilweise auch Angriffsmethoden.