Datenschutzrecht

b) Abwägungstopoi

87

Im Rahmen des Fernmeldegeheimnisses zieht das BVerfG im Wesentlichen dieselben Abwägungstopoi wie beim Recht auf informationelle Selbstbestimmung (vgl. hierzu oben → Rn. 77 f.) heran. Ergänzend spielt jedoch entsprechend dem Verwendungskontext die Nähe der Daten zum Kernbereich privater Lebensgestaltung eine Rolle. So genießen Inhaltsdaten eines konkreten Gesprächs einen intensiveren Schutz als bloße Verkehrsdaten, die nicht zur Kenntnisnahme von Gesprächsinhalten führen.[1]

88

Besondere Aufmerksamkeit verdient ferner der Charakter des Internets als spezifisches Medium der Rechtsverletzung. Entsprechend der Wertung des BVerfG im Beschluss zu den Fangschaltungen, das zur Rechtfertigung dieses Eingriffs darauf abstellte, dass Fangschaltungen ein „besonders wirksames, oft sogar das einzige Mittel der Gegenwehr“ darstellten,[2] liegt es nahe, an die Reaktion auf einen medienspezifischen Missbrauch mit medienspezifischen Abwehrmitteln geringere Rechtfertigungsanforderungen zu stellen. Dies könnte möglicherweise Datenzugriffsrechte von Urheberrechtsinhabern gegenüber Internet-Serviceprovidern, über deren Dienste illegale Downloads erfolgen, leichter legitimieren (vgl. hierzu unten → Rn. 98).

Anmerkungen

[1]

BVerfG, Urt. v. 3.3.2004, 1 BvR 2378/98 u. 1 BvR, 1084/99 = BVerfGE 109, 279 = NJW 2004, 999 (1010) – Großer Lauschangriff.

[2]

Vgl. BVerfG, Beschl. v. 25.3.1992, 1 BvR 1430/88 = BVerfGE 85, 386 (400 f.) – Fangschaltung.

c) Insbesondere: Richtervorbehalt

89

Richtervorbehalte sollen für Fälle besonders schwerwiegender Grundrechtseingriffe fehlenden oder zu spät kommenden Rechtsschutz kompensieren.[1] Im Zusammenhang mit Grundrechtseingriffen bei Wohnungsdurchsuchungen begründet das BVerfG den verfassungsrechtlich vorgegebenen Richtervorbehalt in Art. 13 Abs. 2 GG mit dem hohen Schutzgehalt dieses Grundrechts.[2] Im Rahmen des Fernmeldegeheimnisses aus Art. 10 Abs. 1 Var. 3 GG ist die Situation indes aus verfassungsrechtlicher Sicht schon mangels expliziter grundgesetzlicher Vorgabe eines Richtervorbehalts unklarer. Das BVerfG hat zwar in einer Entscheidung den einfachgesetzlich in § 12 FAG und § 100b StPO vorgesehenen Richtervorbehalt angesichts der persönlichen und sachlichen Unabhängigkeit des Richters auch im Hinblick auf die durch den Verhältnismäßigkeitsgrundsatz gebotene Abwägung der sich bei Eingriffen in das Fernmeldegeheimnis gegenüberstehenden Rechtspositionen für angemessen erachtet.[3] Ein allgemeines Erfordernis eines Richtervorbehalts in Fällen eines Eingriffs in das Fernmeldegeheimnis hat das Gericht jedoch zu Recht nicht aufgestellt. Aus dem Wortlaut des Grundgesetzes ergeben sich auch keinerlei Anhaltspunkte in diese Richtung. Nichtsdestotrotz ist mit Blick auf die erhebliche Bedeutung der durch Art. 10 Abs. 1 GG geschützten Rechtsgüter eine derartige prozedurale Flankierung im Rahmen der Anwendung des Verhältnismäßigkeitsgrundsatzes grundsätzlich erforderlich.

90

In diesem Zusammenhang böte sich möglicherweise aber auch eine Differenzierung nach der Eingriffsintensität an. So wäre es durchaus möglich, einen Richtervorbehalt nur dann als verfassungsrechtlich zwingend vorgegeben anzusehen, wenn der Inhalt der Kommunikation selbst betroffen ist und es nicht lediglich um Verkehrsdaten geht. Letztlich spielt diese Frage bislang aber keine Rolle, da in den entsprechenden einfachgesetzlichen Eingriffsermächtigungen stets ein Richtervorbehalt normiert worden ist. Speziell bei Eingriffen in das Fernmeldegeheimnis zur Durchsetzung urheberrechtlicher Ansprüche wegen Rechtsverletzungen im Internet ist aber zu berücksichtigen, dass es sich beim Internet um das typische Medium der Rechtsverletzung handelt. Dementsprechend muss auch eine medienspezifische Reaktion möglich sein, so dass in diesem Fall aus verfassungsrechtlicher Sicht ein Richtervorbehalt möglicherweise nicht erforderlich ist und auch andere Kontrollverfahren – etwa unter Einschaltung der Bundesnetzagentur – denkbar sind.

Anmerkungen

[1]

So auch Gusy, ZRP 2003, 275.

[2]

BVerfG, Beschl. v. 28.9.2004, 2 BvR 2105/03 = NJW 2005, 275 (276).

[3]

BVerfG, Urt. v. 12.3.2003, 1 BvR 330/96 u. 1 BvR 348/99 = BVerfGE 107, 299 = NJW 2003, 1787 (1792).

d) Vorratsdatenspeicherung

91

Von großer Relevanz im Zusammenhang mit dem Fernmeldegeheimnis war das Urteil des BVerfG zur Vorratsdatenspeicherung[1], in dem das Gericht den Beschwerdeführern im Wesentlichen Recht gab, die angegriffenen Normen (§§ 113a und 113b TKG a.F. sowie § 100g Abs. 1 S. 1 StPO, soweit danach Verkehrsdaten gemäß § 113a TKG a.F. erhoben werden durften) unter Feststellung der Verletzung von Art. 10 Abs. 1 GG für nichtig erklärte und die unverzügliche Löschung der auf dieser Grundlage gespeicherten Daten anordnete.

92

Zur Frage der Prüfungskompetenz führten die Richter zunächst aus, die Wirksamkeit der damaligen Vorratsdatenspeicherungsrichtlinie (siehe dazu → Rn. 164 ff.) sei nicht entscheidungserheblich, weil ein hinreichend weiter Entscheidungsspielraum der Mitgliedstaaten bestehe, um grundsätzlich eine Umsetzung ohne Verstoß gegen deutsche Grundrechte zu erreichen.[2] Eine Vorlage an den EuGH sah das BVerfG nicht als geboten an, weil der Zugang selbst in der Richtlinie nicht näher geregelt werde und eine anlasslose Speicherung an sich nicht schlechthin unvereinbar mit der Verfassung sei. Sie könne mit der Effektivierung der Strafverfolgung, der Gefahrenabwehr und der Erfüllung der Aufgaben der Nachrichtendienste legitime Zwecke verfolgen. Eine bereits im Volkszählungsurteil strikt verbotene Vorratsspeicherung zu unbestimmten oder noch nicht bestimmten Zwecken liege nicht vor. Allerdings unterliege die Speicherung hinsichtlich Begründung und Ausgestaltung besonders strengen Anforderungen. Gegen die Annahme der Geeignetheit und Erforderlichkeit bestünden keine durchgreifenden Bedenken. Speziell das „Quick-Freeze-Verfahren“ könne nicht als ebenso wirksam angesehen werden, weil es keinen vollständigen Datenbestand für die letzten sechs Monate gewährleiste. Es bleibt abzuwarten, ob das BVerfG an diesem im Vergleich zum EuGH (siehe → Rn. 177 ff.) großzügigeren Maßstab auch künftig festhalten wird.

93

Hinsichtlich der Angemessenheit betonte das Gericht zunächst die Schwere des Eingriffs in das Fernmeldegeheimnis aufgrund seiner bisher ungekannten Streubreite, seiner Anlasslosigkeit und Heimlichkeit. Zudem komme den Daten eine weitreichende Aussagekraft zu, weil bei umfassender und automatisierter Auswertung bis in die Intimsphäre hineinreichende inhaltliche Rückschlüsse möglich seien und gegebenenfalls aussagekräftige Persönlichkeits- und Bewegungsprofile erstellt werden könnten. Im Übrigen hob das Gericht die Missbrauchsmöglichkeiten hervor, speziell aufgrund der Vielzahl privater Anbieter, die Zugriff auf die Daten haben müssen.

94

Demgegenüber sei jedoch zu beachten, dass die Erhebung nicht direkt durch den Staat vorgenommen werde und deshalb bei der Speicherung selbst noch keine Zusammenführung erfolge. Der Abruf selbst fände dann stets anlassbezogen nach rechtlich näher festgelegten Kriterien statt. Zwar liege die sechsmonatige Speicherdauer an der Obergrenze der Rechtfertigungsfähigkeit, der Bürger könne sich jedoch nach Ablauf auf die nachhaltige Löschung verlassen. Die Vorratsdatenspeicherung knüpfe außerdem an die besondere Bedeutung der Telekommunikation in der modernen Welt an und reagiere auf ein spezifisches Gefahrenpotential durch Bündelung von Wissen, Handlungsbereitschaft und krimineller Energie.

95

Ungeachtet dessen nahm das Gericht sodann auf den verfassungsrechtlichen Identitätsvorbehalt Bezug, den der Zweite Senat im „Lissabon-Urteil“[3] entwickelt hat und für dessen Wahrung sich die Bundesrepublik in europäischen und internationalen Zusammenhängen einsetzen müsse.[4] Hierzu zähle, dass die Vorratsdatenspeicherung auch im Zusammenspiel mit anderen Datensammlungen nicht zu einer totalen Erfassung und Registrierung der bürgerlichen Freiheitswahrnehmung führen dürfe. Im Ergebnis dürfen also auch nach einer „Überwachungsgesamtrechnung“ nicht praktisch alle Aktivitäten der Bürger erfassbar und rekonstruierbar sein.[5] Vor diesem Hintergrund reduziere die Vorratsdatenspeicherung zwar den Spielraum für weitere anlasslose Datensammlungen auch über den Weg der Europäischen Union. Sie führe jedoch nicht zu einer entsprechenden Totalerfassung und sei damit verfassungsrechtlich unbedenklich, sofern eine angemessene Ausgestaltung der Speicherung und Verwendung der Daten gewährleistet werde.

96

Dies erfordere die Gewährleistung einer besonders hohen Datensicherheit, enge Vorgaben für die Verwendung der Daten, hinreichende Vorgaben zur Transparenz sowie effektive Rechtsschutzmöglichkeiten und Sanktionen. Im Einzelnen bedeute dies etwa grundsätzlich eine getrennte Speicherung, eine anspruchsvolle Verschlüsselung, ein gesichertes Zugriffsregime sowie eine revisionssichere Protokollierung.[6] Der Abruf zur Strafverfolgung setze einen durch bestimmte Tatsachen begründeten Verdacht einer schweren Straftat voraus, deren Schwere in der Strafnorm einen objektivierten Ausdruck finden und die auch im Einzelfall schwer wiegen muss.[7] Hinsichtlich aller Eingriffsermächtigungen mit präventiver Zielsetzung müssen tatsächliche Anhaltspunkte einer konkreten Gefahr für Leib, Leben oder Freiheit einer Person, für den Bestand oder die Sicherheit des Bundes bzw. eines Landes oder einer gemeinen Gefahr vorliegen.[8] Die Zweckbindung müsse dabei jeweils auch im Anschluss an Abruf oder Übermittlung sichergestellt und verfahrensmäßig flankiert werden.[9]

97

Die Verwendung der Daten habe nach Möglichkeit offen zu erfolgen, es sei denn, dies würde den Untersuchungszweck vereiteln. In diesem Fall sei eine richterliche Anordnung und grundsätzlich die nachträgliche Benachrichtigung der betroffenen Person erforderlich.[10] Im Übrigen solle ein Rechtsschutzverfahren zur nachträglichen Kontrolle der Datenverwendung eröffnet und wirkungsvolle Sanktionen bei Verletzungen vorgesehen werden.[11] Die Abfrage oder Übermittlung sei schließlich grundsätzlich unter Richtervorbehalt zu stellen.[12]

98

Weniger strenge Anforderungen sollten dagegen hinsichtlich der Nutzung von Vorratsdaten zur Referenzierung dynamischer IP-Adressen gelten, weil die Behörden selbst hierbei keine Kenntnis von den Vorratsdaten erhalten und die Aussagekraft der Daten eng begrenzt bleibt.[13] Deshalb ließ das Gericht hier die Verfolgung von Straftaten, die Gefahrenabwehr und die Aufgabenwahrnehmung der Nachrichtendienste auf Grundlage der allgemeinen fachrechtlichen Eingriffsermächtigungen genügen, ohne dass ein Richtervorbehalt erforderlich wäre. Voraussetzung sei lediglich das Vorliegen eines hinreichenden Anfangsverdachts bzw. einer konkreten Gefahr auf einzelfallbezogener Tatsachenbasis, die aktenkundig zu machen sind. Ordnungswidrigkeiten können nur dann Anlass sein, wenn ihnen auch im Einzelfall besonderes Gewicht zukommt.[14] Diese Einschränkung hat Bedeutung für den Zugriff anlässlich der Verfolgung von Urheberrechtsverletzungen im Internet, der nach den bereits erläuterten strengen Vorgaben hinsichtlich des Verwendungszwecks eigentlich ausgeschlossen wäre. Weil es hierbei aber gerade um entsprechende behördliche Auskunftsansprüche hinsichtlich der Anspruchsinhaber bestimmter IP-Adressen geht[15], greift die dargestellte Privilegierung mit der Konsequenz, dass ein solcher Zugriff nicht grundsätzlich verwehrt ist. Jüngst wurden vom BVerfG[16] die Voraussetzungen für die Zuordnung dynamischer IP-Adressen im Bereich der manuellen Auskunft nach § 113 TKG und darauf bezugnehmender Normen des Strafprozess- und Sicherheitsrechts allerdings sowohl bei Abruf-, als auch bei Übermittlungsregelungen verschärft, sodass – anders als für Bestandsdaten – über das Vorliegen einer konkreten Gefahr bzw. das Bestehen eines Anfangsverdachts hinaus die Maßnahme noch dem Schutz oder der Bewehrung von Rechtsgütern von hervorgehobenem Gewicht dienen muss (siehe dazu weiter → Rn. 951).

99

Den geschilderten Anforderungen wurden nach Ansicht des BVerfG die angegriffenen Vorschriften nicht gerecht und verstießen deshalb gegen das Fernmeldegeheimnis aus Art. 10 Abs. 1 GG. § 113a Abs. 10 TKG trug den besonders hohen Anforderungen an die Datensicherheit nicht hinreichend Rechnung und ließ ein ausgeglichenes Sanktionssystem vermissen.[17] § 113b S. 1 Nr. 1 TKG i.V.m. § 100g StPO ließen verfassungswidrig generell Straftaten von erheblicher Bedeutung genügen und erlaubten undifferenziert stets den heimlichen Zugriff.[18] § 113b S. 1 Nr. 2 und 3 TKG nannte nicht konkret die Verwendungszwecke. Es wurde keinerlei Schutz von Vertrauensbeziehungen gewährleistet.

100

§ 113b S. 1 Hs. 2 TKG ließ i.V.m. § 113 Abs. 1 TKG die Ahndung jeder Ordnungswidrigkeit genügen, enthielt keine normenklaren speziellen Regelungen und keine Regelungen zur Benachrichtigung der betroffenen Person. Damit war zugleich die Speicherungspflicht aus § 113a TKG verfassungswidrig.[19] Das Gericht entschied, dass die Normen gemäß § 95 Abs. 3 S. 1 BVerfGG für nichtig zu erklären waren, was eine übergangsweise Anwendung in eingeschränktem Umfang ausschloss.

101

Im Ergebnis fehlte es in Deutschland fortan an einer Umsetzungsregelung, wie sie die Richtlinie forderte. Sämtliche auf Basis dieser Vorschriften gespeicherten Daten waren durch die Diensteanbieter unverzüglich zu löschen. Damit wurde wieder der Altzustand des grundsätzlichen Speicherungsverbotes herbeigeführt. Dieser Zustand war vor dem Hintergrund der unionsrechtlichen Umsetzungspflicht problematisch, weil die Bundesrepublik in Ermangelung einer rechtswirksamen Umsetzungsregelung gegen Unionsrecht verstieß und sich prinzipiell einem Vertragsverletzungsverfahren aussetzte. Vor diesem Hintergrund wäre es wohl sinnvoller gewesen, dem Gesetzgeber eine Frist für eine verfassungskonforme Neuregelung zu setzen und die angegriffenen Normen einstweilen (wie bereits im einstweiligen Rechtsschutzverfahren) weitergelten zu lassen, ggf. mit entsprechenden Anwendungsrestriktionen. Diese Überlegung wird auch durch eine ökonomische Betrachtung aus Sicht der betroffenen Telekommunikationsunternehmen gestützt. Die Unternehmen waren zunächst gezwungen, auf eigene Kosten die Daten zu erfassen und vorzuhalten, mussten diese sodann auf eigene Kosten vollständig und unverzüglich löschen und sahen sich in der Folgezeit erneut mit einer Speicherungspflicht konfrontiert, die seither durch eine erhöhte sicherungstechnische Flankierung und damit auch durch eine erhöhte Kostenintensität gekennzeichnet war. Denn obwohl die zugrunde liegende Richtlinie im April 2014 durch den EuGH wegen Verstoßes gegen Art. 7, 8 sowie Art. 52 GrCh für ungültig erklärt wurde (siehe dazu auch unter → Rn. 177 ff.),[20] damit die Umsetzungspflicht entfiel und folglich der Rechtszustand in Deutschland unionsrechtskonform war, wurde Ende 2015 durch das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten[21] wiederum eine Vorratsdatenspeicherung eingeführt. Auf deren Durchsetzung verzichtete die Bundesnetzagentur aber ausdrücklich noch vor Ablauf der Übergangsfrist,[22] nachdem das OVG NRW in einem von einem Internetzugangsprovider angestrengten Verfahren im einstweiligen Rechtsschutz die Speicherpflicht aufgrund Unionsrechtswidrigkeit der entsprechenden Normen für nicht anwendbar gehalten hatte.[23] Im Hauptsacheverfahren hierzu gibt es bislang noch kein rechtskräftiges Urteil. Das VG Köln, an das die Sache zurückging, blieb in der Sache bei der Position des OVG NRW im einstweiligen Rechtsschutz und hielt die Speicherpflicht für unionsrechtswidrig.[24] Das inzwischen in einer Sprungrevision mit dem Streit befasste BVerwG legte an den EuGH vor, dessen Entscheidung noch aussteht.[25]

102

Insgesamt ist inzwischen die Rechtsprechung des EuGH zur Vorratsdatenspeicherung auf der Basis der Datenschutzgrundrechte der EU strenger als die des BVerfG. Denn zum einen verlangt der EuGH strengere Begrenzungen der Speicherung an sich und zum anderen auch eine Speicherung auf dem Territorium der EU (siehe dazu → Rn. 178).

Anmerkungen

[1]

BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260 – Vorratsdatenspeicherung.

[2]

BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260, Rn. 186 f. – Vorratsdatenspeicherung.

[3]

BVerfG, Urt. v. 30.6.2009, 2 BvE 2/08 u.a. = BVerfGE 123, 267, Rn. 240 – Lissabon. Das BVerfG ist indes in der späteren Entscheidung vom 6.7.2010, 2 BvR 2661/06 = BVerfGE 126, 286 – Honeywell, wieder dahingehend „zurückgerudert“, dass eine entsprechende „Ultra-vires“-Kontrolle gegenüber dem EuGH nur dann in Betracht komme, wenn „das kompetenzwidrige Handeln der Unionsgewalt offensichtlich ist und der angegriffene Akt im Kompetenzgefüge zu einer strukturell bedeutsamen Verschiebung zulasten der Mitgliedstaaten führt.“

[4]

BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260, Rn. 218 – Vorratsdatenspeicherung.

[5]

Roßnagel, NJW 2010, 1238 (1240); Hornung/Schnabel, DVBl. 2010, 834 (827) weisen jedoch auf erhebliche Probleme hinsichtlich einer denkbaren Operationalisierung dieser Gesamtrechnung hin.

[6]

BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260, Rn. 224 – Vorratsdatenspeicherung.

[7]

BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260, Rn. 228 f. – Vorratsdatenspeicherung.

[8]

BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260, Rn. 231 ff. – Vorratsdatenspeicherung.

[9]

BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260, Rn. 235 f. – Vorratsdatenspeicherung.

[10]

BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260, Rn. 243 f. – Vorratsdatenspeicherung.

[11]

BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260, Rn. 251 ff. – Vorratsdatenspeicherung.

[12]

BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260, Rn. 247 – Vorratsdatenspeicherung.

[13]

BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260, Rn. 256 – Vorratsdatenspeicherung.

[14]

BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260, Rn. 261 f. – Vorratsdatenspeicherung.

[15]

Vgl. BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260, Rn. 254 – Vorratsdatenspeicherung.

[16]

BVerfG, Beschl. v. 27.5.2020, 1 BvR 1873/13 u.a. – Bestandsdatenauskunft II.

[17]

BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260, Rn. 271 ff. – Vorratsdatenspeicherung.

[18]

BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260, Rn. 278 f. – Vorratsdatenspeicherung.

[19]

BVerfG, Urt. v. 2.3.2010, 1 BvR 256/08 u.a. = BVerfGE 125, 260, Rn. 292 – Vorratsdatenspeicherung.

[20]

EuGH, Urt. v. 8.4.2014, C-293/12 und C-594/12, ECLI:EU:C:2014:238 – Digital Rights Ireland und Seitlinger u.a.

[21]

Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten v. 10.12.2015, BGBl. I, S. 2218.

[22]

Vgl. Bundesnetzagentur, Verkehrsdatenspeicherung, Stand 28.6.2017, abrufbar unter: https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/Umsetzung110TKG/VDS_113aTKG/VDS-node.html (Abruf: 12.1.2021).

[23]

OVG NRW, Beschl. v. 22.6.2017, 13 B 238/17 = K&R 2017, 597.

[24]

VG Köln, Urt. v. 20.4.2018, 9 K 7417/17.

[25]

BVerwG, EuGH-Vorlage v. 25.9.2019, 6 C 13/18.