Im englischen Original von Jesper Lund (IT-Pol, Dänemark) und Maryant Fernández Pérez (EDRi), Übersetzung von Lutz Martiny
Am 2. Oktober 2018 hat der Gerichtshof der Europäischen Union (EuGH) eine neue Entscheidung in der Rechtssache „Ministerio Fiscal“ über den Zugang zu Daten, die von Anbietern elektronischer Kommunikationsdienste im Rahmen der Datenschutzrichtlinie für elektronische Kommunikation gespeichert werden, gefällt.
Bei der Untersuchung des Raubes und Diebstahls eines Mobiltelefons bat die spanische Polizei einen Ermittlungsrichter, verschiedene Anbieter von elektronischen Kommunikationsdiensten anzuweisen, die während eines Zeitraums von zwölf Tagen mit dem IMEI-Code (International Mobile Equipment Identity) des gestohlenen Mobilgeräts sowie die Namen und Adressen der Teilnehmer der für diese Aktivierung verwendeten SIM-Karten offenzulegen. Der Antrag wurde vom Richter mit der Begründung abgelehnt, dass die Straftat nicht den Anforderungen des spanischen Gesetzes 25/2007 über die Vorratsspeicherung von Daten im Zusammenhang mit der elektronischen Kommunikation und öffentlichen Kommunikationsnetzen für schwere Straftaten entsprach. Auf Berufung des Staatsanwalts verwies ein spanisches Gericht den Fall an den CJEU.
Der EuGH entschied, dass der Zugang zu den gespeicherten Daten zum Zwecke der Feststellung der Eigentümer der für die Aktivierung eines mobilen Geräts verwendeten SIM-Karten eine Beeinträchtigung der Grundrechte der Eigentümer auf Privatsphäre und Schutz personenbezogener Daten mit sich bringt. Der EuGH stellte jedoch klar, dass, wenn der Zweck des Zugangs zu den gespeicherten Daten ausschließlich darin besteht, die Identität des Teilnehmers zu erfahren, Artikel 15 Absatz 1 der Datenschutzrichtlinie über die elektronische Kommunikation Beschränkungen der in der Richtlinie vorgesehenen Rechte zur Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten – nicht nur schwerer Straftaten – zulässt.
Interessant an diesem Urteil ist, dass der EuGH in seinem früheren Tele2/Watson-Urteil entschieden hatte, dass der Zugang zu den gespeicherten Daten auf Fälle schwerer Kriminalität beschränkt ist. Um die beiden Urteile in Einklang zu bringen, erklärt der EuGH, dass das mit dem Zugang verfolgte Ziel in einem angemessenen Verhältnis zur Schwere der mit dem Zugang verbundenen Beeinträchtigung der Grundrechte stehen muss. Der Fall Tele2 betrifft den Zugang zu den gespeicherten Daten, der insgesamt genaue Rückschlüsse auf das Privatleben der betroffenen Personen zulässt. Dieser Zugang stellt eine schwerwiegende Beeinträchtigung der Grundrechte dar und kann nur durch das Ziel der Bekämpfung der schweren Kriminalität gerechtfertigt werden. Wenn jedoch der Zugang zu den gespeicherten Daten eine nicht schwerwiegende Beeinträchtigung darstellt, wie im vorliegenden Fall der Zugang zur Identität des Teilnehmers, kann der Zugang durch das Ziel der allgemeinen Bekämpfung von Straftaten gerechtfertigt sein.
Die Frage, die sich sofort stellt, ist, ob dieser neue Fall in irgendeiner Weise von den strengen Bedingungen für den Zugang zu gespeicherten Daten abweicht, die im Tele2/Watson-Urteil festgelegt sind, und insbesondere, ob der Fall Ministerio Fiscal einige dieser Bedingungen abschwächt und damit den Strafverfolgungsbehörden in einer größeren Anzahl von Szenarien den Zugang zu gespeicherten Daten ermöglicht.
In erster Linie ist es wichtig, darauf hinzuweisen, dass die Überschneidungen zwischen den beiden Urteilen recht gering sind, da sie sich mit sehr unterschiedlichen Fragen befassen:
Ziel des Falles Tele2/Watson ist die Speicherung von Daten, die insgesamt sehr genaue Rückschlüsse auf das Privatleben der Personen zulassen können, deren Daten gespeichert wurden (erster Teil des Urteils), und der Zugang zu diesen Daten, die von Anbietern elektronischer Kommunikationsdienste gespeichert wurden (zweiter Teil).
Im Gegensatz dazu befasst sich der Fall Ministerio Fiscal mit der vermutlich sehr engen Situation, in der der Zugriff auf Daten keinen ernsthaften Eingriff darstellt. Dazu gehört auch die Erlangung einer Teilnehmeridentität. Der EuGH bestätigt jedoch, dass der Zugang zu gespeicherten Daten, aus denen Datum, Uhrzeit, Dauer und Empfänger der Mitteilungen oder die Orte, an denen die Kommunikation stattgefunden hat, hervorgehen, als schwerwiegende Störung anzusehen ist, da diese Daten genaue Rückschlüsse auf das Privatleben der betroffenen Personen zulassen (vgl. Randnr. 60 des Urteils). In diesen Fällen muss der Zugang zu den gespeicherten Daten auf Fälle schwerer Straftaten beschränkt sein, wie im Fall Tele2.
Es gibt jedoch ein Szenario, in dem das neue Urteil die Auslegung des Tele2-Urteils etwas verwirren kann. Nach den Paragraphen 108-111 des Tele2-Urteils sind gezielte Anforderungen an die Datenspeicherung zur Bekämpfung der schweren Kriminalität mit dem EU-Recht vereinbar (im Gegensatz zur allgemeinen und undifferenzierten Datenspeicherung, die nach EU-Recht rechtswidrig ist). Darüber hinaus wäre es natürlich, Ziffer 115 des Tele2-Urteils so zu lesen, dass der Zugang zu diesen gespeicherten Daten immer auf Fälle schwerer Kriminalität beschränkt ist, da die gezielte Vorratsdatenspeicherung an sich eine schwerwiegende Beeinträchtigung der Grundrechte darstellt, die nur durch das Ziel der Bekämpfung der schweren Kriminalität gerechtfertigt werden kann. Die Gewährung des Zugangs zu den gespeicherten Daten in Fällen, die keine schwere Straftat darstellen, würde die Zweckbindung in der Aufbewahrungsphase zweifellos untergraben.
Der CJEU hat nicht definiert, was eine schwere Straftat darstellen kann. Auch die Entscheidung des Ministerio Fiscal bezieht sich nicht eindeutig darauf, warum die Daten überhaupt gespeichert wurden oder ob dies die Bedingungen für den Zugang zu den gespeicherten Daten beeinflussen sollte.
Da es keinen offensichtlichen Zusammenhang mit der Aufbewahrung der Daten gibt, scheint der EuGH nun in den Randnummern 54-61 des Ministerio Fiscal-Urteils zu sagen, dass, wenn der Zugang nur zu kleinen Teilen der gespeicherten Daten angestrebt wird, z.B. nur zum Zwecke der Erlangung der Teilnehmeridentität, der Zugang zu diesen Daten keine schwerwiegende Beeinträchtigung darstellt, auch wenn die Daten aufgrund einer (gezielten) Datenspeicherungsanordnung, die nur durch das Ziel der Bekämpfung der schweren Kriminalität gerechtfertigt werden kann, überhaupt nur verfügbar sind. Diese Situation könnte in der Praxis auftreten, wenn der Vorratsdatenspeicherungsauftrag alle Datenelemente der (aufgehobenen) Vorratsdatenspeicherungsrichtlinie für einen bestimmten Personenkreis umfasst, aber der Zugang zu den gespeicherten Daten nur zum Zwecke der Feststellung der Identität eines Teilnehmers beantragt wird, dem eine bestimmte dynamische IP-Adresse zugewiesen wurde.
Abgesehen von dieser möglichen Schwächung der strengen Tele2-Bedingungen für den Zugang zu gespeicherten Daten gibt es drei wesentliche positive Aspekte des neuen Urteils aus der Sicht der digitalen Rechte:
- Das Urteil stellt klar, dass Verkehrsdaten im Sinne der Datenschutzrichtlinie für elektronische Kommunikation den Teilnehmernamen und die IMEI-Adresse der mobilen Vorrichtung beinhalten (vgl. Randnummern 40-42). Dies bedeutet, dass der Zugang zu diesen Daten in den Geltungsbereich und die Garantien der Datenschutzrichtlinie für elektronische Kommunikation fällt und dass die Datenschutzrichtlinie für elektronische Kommunikation nicht durch Versuche, die Definition von Teilnehmerdaten zu erweitern, umgangen werden kann.
- In dem Urteil wird in Randnummer 51 unter Bezugnahme auf die Stellungnahme des Gerichtshofs zum Abkommen zwischen der EU und Kanada über Fluggastdatensätze (PNR) festgestellt, dass der Zugang zu allen gespeicherten Daten, einschließlich der Identität der Teilnehmer, einen Eingriff in das Grundrecht auf den Schutz personenbezogener Daten darstellt. Daher verlangt der EuGH materielle und verfahrensrechtliche Bedingungen, die auf objektiven Kriterien für den Zugang zu den gespeicherten PNR-Daten beruhen, und der Zugang muss einer vorherigen Überprüfung durch ein Gericht oder eine unabhängige Verwaltungsstelle unterzogen werden. In der Rechtssache Ministerio Fiscal wurde der EuGH nicht aufgefordert, die materiellen und verfahrensrechtlichen Bedingungen für den Zugang zu prüfen. Dennoch hat Ziffer 51 des Urteils potenzielle Auswirkungen auf andere Teile des EU-Rechts, insbesondere auf die vorgeschlagene e-Evidence-Verordnung, die den Zugang zu nicht nur Teilnehmerdaten, sondern auch zu so genannten Zugangsdaten (Daten, die zur Identifizierung des Nutzers eines Dienstes erforderlich sind) für alle Straftaten ermöglicht, ohne dass eine vorherige Überprüfung durch ein Gericht (die Zustimmung eines Staatsanwalts kann ausreichend sein) oder eine unabhängige Verwaltungsstelle erforderlich ist.
- In den Randnummern 34-37 des Ministerio Fiscal-Urteils bekräftigt der EuGH, was er im Tele2/Watson-Urteil gesagt hat -, dass nationale Rechtsvorschriften, die den Zugang der zuständigen Behörden zu den von den Anbietern von elektronischen Kommunikationsdiensten gespeicherten personenbezogenen Daten gestatten, nicht als Tätigkeiten des Staates angesehen werden können, die nicht in den Anwendungsbereich von Artikel 15 Absatz 1 der Verordnung über den Schutz der Privatsphäre im elektronischen Geschäftsverkehr fallen, da der Zugang der zuständigen Behörden zwangsläufig die Verarbeitung personenbezogener Daten durch die Anbieter elektronischer Kommunikationsdienste voraussetzt.
- EuGH-Urteil in der Rechtssache C-207/16 Ministerio Fiscal (02.10.2018)
- CJEU-Urteil in den verbundenen Rechtssachen C 203/15 und C 698/15 (Tele2/Watson)
CC-BY 4.0 Jesper Lund (IT-Pol, Dänemark) und Maryant Fernández Pérez (EDRi)
0 Kommentare zu “CJEU führt neue Kriterien für die Strafverfolgung beim Zugang zu Daten ein”