Datenschutzrecht. Jürgen Kühling
Verwendung der Daten habe nach Möglichkeit offen zu erfolgen, es sei denn, dies würde den Untersuchungszweck vereiteln. In diesem Fall sei eine richterliche Anordnung und grundsätzlich die nachträgliche Benachrichtigung der betroffenen Person erforderlich.[10] Im Übrigen solle ein Rechtsschutzverfahren zur nachträglichen Kontrolle der Datenverwendung eröffnet und wirkungsvolle Sanktionen bei Verletzungen vorgesehen werden.[11] Die Abfrage oder Übermittlung sei schließlich grundsätzlich unter Richtervorbehalt zu stellen.[12]
98
Weniger strenge Anforderungen sollten dagegen hinsichtlich der Nutzung von Vorratsdaten zur Referenzierung dynamischer IP-Adressen gelten, weil die Behörden selbst hierbei keine Kenntnis von den Vorratsdaten erhalten und die Aussagekraft der Daten eng begrenzt bleibt.[13] Deshalb ließ das Gericht hier die Verfolgung von Straftaten, die Gefahrenabwehr und die Aufgabenwahrnehmung der Nachrichtendienste auf Grundlage der allgemeinen fachrechtlichen Eingriffsermächtigungen genügen, ohne dass ein Richtervorbehalt erforderlich wäre. Voraussetzung sei lediglich das Vorliegen eines hinreichenden Anfangsverdachts bzw. einer konkreten Gefahr auf einzelfallbezogener Tatsachenbasis, die aktenkundig zu machen sind. Ordnungswidrigkeiten können nur dann Anlass sein, wenn ihnen auch im Einzelfall besonderes Gewicht zukommt.[14] Diese Einschränkung hat Bedeutung für den Zugriff anlässlich der Verfolgung von Urheberrechtsverletzungen im Internet, der nach den bereits erläuterten strengen Vorgaben hinsichtlich des Verwendungszwecks eigentlich ausgeschlossen wäre. Weil es hierbei aber gerade um entsprechende behördliche Auskunftsansprüche hinsichtlich der Anspruchsinhaber bestimmter IP-Adressen geht[15], greift die dargestellte Privilegierung mit der Konsequenz, dass ein solcher Zugriff nicht grundsätzlich verwehrt ist. Jüngst wurden vom BVerfG[16] die Voraussetzungen für die Zuordnung dynamischer IP-Adressen im Bereich der manuellen Auskunft nach § 113 TKG und darauf bezugnehmender Normen des Strafprozess- und Sicherheitsrechts allerdings sowohl bei Abruf-, als auch bei Übermittlungsregelungen verschärft, sodass – anders als für Bestandsdaten – über das Vorliegen einer konkreten Gefahr bzw. das Bestehen eines Anfangsverdachts hinaus die Maßnahme noch dem Schutz oder der Bewehrung von Rechtsgütern von hervorgehobenem Gewicht dienen muss (siehe dazu weiter → Rn. 951).
99
Den geschilderten Anforderungen wurden nach Ansicht des BVerfG die angegriffenen Vorschriften nicht gerecht und verstießen deshalb gegen das Fernmeldegeheimnis aus Art. 10 Abs. 1 GG. § 113a Abs. 10 TKG trug den besonders hohen Anforderungen an die Datensicherheit nicht hinreichend Rechnung und ließ ein ausgeglichenes Sanktionssystem vermissen.[17] § 113b S. 1 Nr. 1 TKG i.V.m. § 100g StPO ließen verfassungswidrig generell Straftaten von erheblicher Bedeutung genügen und erlaubten undifferenziert stets den heimlichen Zugriff.[18] § 113b S. 1 Nr. 2 und 3 TKG nannte nicht konkret die Verwendungszwecke. Es wurde keinerlei Schutz von Vertrauensbeziehungen gewährleistet.
100
§ 113b S. 1 Hs. 2 TKG ließ i.V.m. § 113 Abs. 1 TKG die Ahndung jeder Ordnungswidrigkeit genügen, enthielt keine normenklaren speziellen Regelungen und keine Regelungen zur Benachrichtigung der betroffenen Person. Damit war zugleich die Speicherungspflicht aus § 113a TKG verfassungswidrig.[19] Das Gericht entschied, dass die Normen gemäß § 95 Abs. 3 S. 1 BVerfGG für nichtig zu erklären waren, was eine übergangsweise Anwendung in eingeschränktem Umfang ausschloss.
101
Im Ergebnis fehlte es in Deutschland fortan an einer Umsetzungsregelung, wie sie die Richtlinie forderte. Sämtliche auf Basis dieser Vorschriften gespeicherten Daten waren durch die Diensteanbieter unverzüglich zu löschen. Damit wurde wieder der Altzustand des grundsätzlichen Speicherungsverbotes herbeigeführt. Dieser Zustand war vor dem Hintergrund der unionsrechtlichen Umsetzungspflicht problematisch, weil die Bundesrepublik in Ermangelung einer rechtswirksamen Umsetzungsregelung gegen Unionsrecht verstieß und sich prinzipiell einem Vertragsverletzungsverfahren aussetzte. Vor diesem Hintergrund wäre es wohl sinnvoller gewesen, dem Gesetzgeber eine Frist für eine verfassungskonforme Neuregelung zu setzen und die angegriffenen Normen einstweilen (wie bereits im einstweiligen Rechtsschutzverfahren) weitergelten zu lassen, ggf. mit entsprechenden Anwendungsrestriktionen. Diese Überlegung wird auch durch eine ökonomische Betrachtung aus Sicht der betroffenen Telekommunikationsunternehmen gestützt. Die Unternehmen waren zunächst gezwungen, auf eigene Kosten die Daten zu erfassen und vorzuhalten, mussten diese sodann auf eigene Kosten vollständig und unverzüglich löschen und sahen sich in der Folgezeit erneut mit einer Speicherungspflicht konfrontiert, die seither durch eine erhöhte sicherungstechnische Flankierung und damit auch durch eine erhöhte Kostenintensität gekennzeichnet war. Denn obwohl die zugrunde liegende Richtlinie im April 2014 durch den EuGH wegen Verstoßes gegen Art. 7, 8 sowie Art. 52 GrCh für ungültig erklärt wurde (siehe dazu auch unter → Rn. 177 ff.),[20] damit die Umsetzungspflicht entfiel und folglich der Rechtszustand in Deutschland unionsrechtskonform war, wurde Ende 2015 durch das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten[21] wiederum eine Vorratsdatenspeicherung eingeführt. Auf deren Durchsetzung verzichtete die Bundesnetzagentur aber ausdrücklich noch vor Ablauf der Übergangsfrist,[22] nachdem das OVG NRW in einem von einem Internetzugangsprovider angestrengten Verfahren im einstweiligen Rechtsschutz die Speicherpflicht aufgrund Unionsrechtswidrigkeit der entsprechenden Normen für nicht anwendbar gehalten hatte.[23] Im Hauptsacheverfahren hierzu gibt es bislang noch kein rechtskräftiges Urteil. Das VG Köln, an das die Sache zurückging, blieb in der Sache bei der Position des OVG NRW im einstweiligen Rechtsschutz und hielt die Speicherpflicht für unionsrechtswidrig.[24] Das inzwischen in einer Sprungrevision mit dem Streit befasste BVerwG legte an den EuGH vor, dessen Entscheidung noch aussteht.[25]
102
Insgesamt ist inzwischen die Rechtsprechung des EuGH zur Vorratsdatenspeicherung auf der Basis der Datenschutzgrundrechte der EU strenger als die des BVerfG. Denn zum einen verlangt der EuGH strengere Begrenzungen der Speicherung an sich und zum anderen auch eine Speicherung auf dem Territorium der EU (siehe dazu → Rn. 178).
Anmerkungen
BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260 – Vorratsdatenspeicherung.
BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260, Rn. 186 f. – Vorratsdatenspeicherung.
BVerfG, Urt. v. 30.6.2009, 2 BvE 2/08 u.a. = BVerfGE 123, 267, Rn. 240 – Lissabon. Das BVerfG ist indes in der späteren Entscheidung vom 6.7.2010, 2 BvR 2661/06 = BVerfGE 126, 286 – Honeywell, wieder dahingehend „zurückgerudert“, dass eine entsprechende „Ultra-vires“-Kontrolle gegenüber dem EuGH nur dann in Betracht komme, wenn „das kompetenzwidrige Handeln der Unionsgewalt offensichtlich ist und der angegriffene Akt im Kompetenzgefüge zu einer strukturell bedeutsamen Verschiebung zulasten der Mitgliedstaaten führt.“
BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260, Rn. 218 – Vorratsdatenspeicherung.
Roßnagel, NJW 2010, 1238 (1240); Hornung/Schnabel, DVBl. 2010, 834 (827) weisen jedoch auf erhebliche Probleme hinsichtlich einer denkbaren Operationalisierung dieser Gesamtrechnung hin.
BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a.