SCHLUSSANTRÄGE DES GENERALANWALTS
MANUEL CAMPOS SÁNCHEZ-BORDONA
vom 15. Januar 2020(1)
Rechtssache C‑520/18
Ordre des barreaux francophones et germanophone,
Académie Fiscale ASBL,
UA,
Liga voor Mensenrechten ASBL,
Ligue des Droits de l’Homme ASBL,
VZ,
WY,
XX
gegen
Conseil des ministres,
Beteiligte:
Child Focus
(Vorabentscheidungsersuchen der Cour constitutionnelle [Verfassungsgerichtshof, Belgien])
„Vorlage zur Vorabentscheidung – Verarbeitung personenbezogener Daten und Schutz des Privatlebens im Bereich der elektronischen Kommunikation – Richtlinie 2002/58/EG – Anwendungsbereich – Art. 1 Abs. 3 – Art. 15 Abs. 1 – Art. 4 Abs. 2 EUV – Charta der Grundrechte der Europäischen Union – Art. 4, 6, 7, 8, 11 und Art. 52 Abs. 1 – Pflicht zur allgemeinen und unterschiedslosen Speicherung von Verkehrs- und Standortdaten – Wirksamkeit der strafrechtlichen Ermittlungen und sonstige dem Gemeinwohl dienende Zielsetzungen“
1. Der Gerichtshof hat in den letzten Jahren seine ständige Rechtsprechung zu Speicherung und Zugang zu personenbezogenen Daten beibehalten, von der insbesondere folgende Urteile zu nennen sind:
– das Urteil vom 8. April 2014, Digital Rights Ireland u. a.(2), in dem der Gerichtshof die Richtlinie 2006/24/EG(3) für ungültig erklärt hat, weil sie einen unverhältnismäßigen Eingriff in die in den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) verankerten Rechte zuließ,
– das Urteil vom 21. Dezember 2016, Tele2 Sverige und Watson u. a.(4), in dem er Art. 15 Abs. 1 der Richtlinie 2002/58/EG(5) ausgelegt hat, und
– das Urteil vom 2. Oktober 2018, Ministerio Fiscal(6), in dem die Auslegung dieser Bestimmung der Richtlinie 2002/58 bestätigt wurde.
2. Diese Urteile (insbesondere das zweite Urteil) geben den Behörden einiger Mitgliedstaaten Anlass zur Besorgnis, da ihnen ihrer Ansicht nach ein Instrument vorenthalten wird, das sie als für den Schutz der nationalen Sicherheit und für die Bekämpfung von Kriminalität und Terrorismus notwendig erachten. Aus diesem Grund fordern einige dieser Mitgliedstaaten, diese Rechtsprechung aufzugeben oder anzupassen.
3. Drei Gerichte der Mitgliedstaaten haben in vier Vorabentscheidungsersuchen(7), zu denen ich heute meine Schlussanträge vorlege, auf diese Besorgnis hingewiesen.
4. Die vier Rechtssachen beziehen sich insbesondere auf das Problem der Anwendung der Richtlinie 2002/58 auf Tätigkeiten im Zusammenhang mit der nationalen Sicherheit und der Terrorismusbekämpfung. Sollte die Richtlinie insoweit anwendbar sein, müsste im Anschluss geklärt werden, inwieweit die Mitgliedstaaten die von ihr geschützten Datenschutzrechte einschränken können. Schließlich ist zu prüfen, inwieweit die verschiedenen nationalen Regelungen (die britische(8), die belgische(9) und die französische(10)) auf diesem Gebiet mit dem Unionsrecht in seiner Auslegung durch den Gerichtshof vereinbar sind.
5. Nach Verkündung des Urteils Digital Rights, mit dem die Richtlinie 2006/24 für ungültig erklärt wurde, hob die Cour constitutionnelle (Verfassungsgerichtshof, Belgien) die nationale Regelung auf, mit der die Richtlinie teilweise in das nationale Recht umgesetzt worden war. Der belgische Gesetzgeber verabschiedete daraufhin eine neue Regelung, deren Vereinbarkeit mit dem Unionsrecht im Anschluss an das Urteil Tele2 Sverige und Watson erneut in Zweifel gezogen wird.
6. Eine Besonderheit des vorliegenden Vorabentscheidungsersuchens besteht darin, dass das vorlegende Gericht danach fragt, ob die Wirkungen einer nationalen Regelung, die aufgrund ihrer Unvereinbarkeit mit dem Unionsrecht von den nationalen Gerichten für nichtig zu erklären ist, vorläufig aufrechterhalten werden können.
I. Rechtlicher Rahmen
A. Unionsrecht
7. Ich verweise auf die entsprechenden Nummern meiner Schlussanträge in den Rechtssachen C‑511/18 und C‑512/18.
B. Nationales Recht. Loi du 29 mai 2016 relative à la collecte et à la conservation des données dans le secteur des communications électroniques(11)
8. Nach Art. 4 erhält Art. 126 der Loi du 13 juin 2005 relative aux communications électroniques(12) folgende Fassung:
„§ 1 – Unbeschadet des Gesetzes vom 8. Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten speichern öffentliche Anbieter von Telefon‑, Internetzugangs‑, Internet-E‑Mail- und Internet-Telefonie-Diensten, Betreiber öffentlicher elektronischer Kommunikationsnetze und Betreiber einer der beiden Dienste auf Vorrat in § 3 erwähnte Daten, die bei der Bereitstellung der betreffenden Kommunikationsdienste von ihnen erzeugt oder verarbeitet werden.
Vorliegender Artikel bezieht sich nicht auf den Inhalt der Kommunikationen.
…
§ 2 – Nur folgende Behörden dürfen auf einfaches Verlangen von den in § 1 Absatz 1 erwähnten Anbietern und Betreibern Daten erhalten, die aufgrund des vorliegenden Artikels für folgende Zwecke und gemäß den nachstehend aufgezählten Bedingungen auf Vorrat gespeichert werden:
1. Gerichtsbehörden im Hinblick auf Ermittlung, Untersuchung und Verfolgung von Verstößen, zur Ausführung von Maßnahmen, die in den Artikeln 46bis und 88bis des Strafprozessgesetzbuchs erwähnt sind, und unter den durch diese Artikel festgelegten Bedingungen,
2. Nachrichten- und Sicherheitsdienste zur Erfüllung von nachrichtendienstlichen Aufträgen unter Einsatz der in den Artikeln 16/2, 18/7 und 18/8 der Loi du 30 novembre 1998 organique des services de renseignement et de Sécurité[(13)] erwähnten Methoden zur Datensammlung und gemäß den in vorliegendem Gesetz festgelegten Bedingungen,
3. Gerichtspolizeioffiziere des Instituts [Institut belge des services postaux et des télécommunications, Belgisches Institut für Post‑ und Fernmeldewesen] im Hinblick auf Ermittlung, Untersuchung und Verfolgung von Verstößen gegen die [Bestimmungen über die Netzsicherheit] und vorliegenden Artikel,
4. Hilfsdienste, die Hilfe vor Ort anbieten, wenn sie nach einem Notruf vom betreffenden Anbieter oder Betreiber … nicht die Identifizierungsdaten des Anrufers oder unvollständige oder fehlerhafte Daten erhalten. Nur die Identifizierungsdaten des Anrufers dürfen binnen einer Frist von maximal 24 Stunden nach dem Anruf beantragt werden,
5. Gerichtspolizeioffiziere der Vermisstenzelle der Föderalen Polizei im Rahmen ihres Auftrags zur Hilfeleistung für Personen in Gefahr, Suche nach vermissten Personen, deren Verschwinden als Besorgnis erregend angesehen wird, und wenn es schwerwiegende Vermutungen oder Indizien dafür gibt, dass die körperliche Unversehrtheit der vermissten Person unmittelbar in Gefahr ist. Nur die in § 3 Absatz 1 und 2 erwähnten Daten über die vermisste Person, die während 48 Stunden vor dem Antrag auf Erhalt der Daten auf Vorrat gespeichert wurden, dürfen beim betreffenden Betreiber oder Anbieter über einen vom König bestimmten Polizeidienst beantragt werden,
6. der Ombudsdienst für Telekommunikation im Hinblick auf die Identifizierung von Personen, die … böswillig ein elektronisches Kommunikationsnetz beziehungsweise einen elektronischen Kommunikationsdienst genutzt haben. Nur die Identifizierungsdaten dürfen beantragt werden.
Die in § 1 Absatz 1 erwähnten Anbieter und Betreiber sorgen dafür, dass in § 3 erwähnte Daten von Belgien aus unbeschränkt zugänglich sind und dass diese Daten und alle anderen notwendigen Informationen zu diesen Daten unverzüglich und nur den in vorliegendem Paragraphen erwähnten Behörden übermittelt werden können.
Unbeschadet anderer Gesetzesbestimmungen dürfen in § 1 Absatz 1 erwähnte Anbieter und Betreiber die aufgrund von § 3 auf Vorrat gespeicherten Daten nicht für andere Zwecke nutzen.
§ 3 – Daten zur Identifizierung von Nutzer oder Teilnehmer und Kommunikationsmittel, in den Absätzen 2 und 3 spezifisch vorgesehene Daten ausgenommen, werden zwölf Monate ab dem Datum, an dem eine Kommunikation über den benutzten Dienst zum letzten Mal möglich ist, auf Vorrat gespeichert.
Daten in Bezug auf Zugang und Verbindung der Endeinrichtung zu Netzwerk und Dienst und in Bezug auf den Standort dieser Ausrüstung, einschließlich des Netzabschlusspunktes, werden zwölf Monate ab dem Datum der Kommunikation auf Vorrat gespeichert.
Kommunikationsdaten mit Ausnahme des Inhalts, einschließlich ihres Ursprungs und ihrer Bestimmung, werden zwölf Monate ab dem Datum der Kommunikation auf Vorrat gespeichert.
Der König legt auf Vorschlag des Ministers der Justiz und des Ministers und nach Stellungnahme des Ausschusses für den Schutz des Privatlebens und des Instituts durch einen im Ministerrat beratenen Erlass die nach Art der in Absatz 1 bis 3 erwähnten Kategorien auf Vorrat zu speichernden Daten und die Anforderungen, die diese Daten erfüllen müssen, fest.
§ 4 – Für die Vorratsspeicherung der in § 3 erwähnten Daten gilt für in § 1 Absatz 1 erwähnte Anbieter und Betreiber Folgendes:
1. Sie gewährleisten, dass die auf Vorrat gespeicherten Daten von der gleichen Qualität sind und der gleichen Sicherheit und dem gleichen Schutz unterliegen wie die im Netz vorhandenen Daten.
2. Sie sorgen dafür, dass in Bezug auf die auf Vorrat gespeicherten Daten geeignete technische und organisatorische Maßnahmen getroffen werden, um sie vor unbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust oder unbeabsichtigter Veränderung, unbefugter oder unrechtmäßiger Speicherung, Verarbeitung, Zugänglichmachung oder Verbreitung zu schützen.
3. Sie gewährleisten, dass der Zugang zu den auf Vorrat gespeicherten Daten ausschließlich einem oder mehreren Mitgliedern des in Artikel 126/1 § 1 erwähnten Koordinationsbüros vorbehalten ist.
4. Sie speichern die Daten auf Vorrat auf dem Gebiet der Europäischen Union.
5. Sie treffen Maßnahmen zum technologischen Schutz, die die auf Vorrat gespeicherten Daten ab ihrer Registrierung für Personen, die nicht zu ihrem Zugang befugt sind, unlesbar und unbrauchbar machen.
6. Sie sorgen dafür, dass unbeschadet der Artikel 122 und 123 nach Ablauf der in § 3 erwähnten auf diese Daten anwendbaren Vorratsspeicherungsfrist die auf Vorrat gespeicherten Daten von den Trägern entfernt werden.
7. Sie sorgen dafür, dass bei Anträgen auf Erhalt auf Vorrat gespeicherter Daten seitens einer in § 2 erwähnten Behörde die Nutzung dieser Daten rückverfolgt werden kann.
Die in Absatz 1 Nr. 7 erwähnte Rückverfolgbarkeit wird mit Hilfe eines Tagebuchs durchgeführt. Das Institut und der Ausschuss für den Schutz des Privatlebens dürfen dieses Tagebuch einsehen oder eine Kopie des gesamten oder eines Teils dieses Tagebuchs verlangen. Das Institut und der Ausschuss für den Schutz des Privatlebens schließen ein Zusammenarbeitsprotokoll über Kenntnisnahme und Kontrolle des Inhalts des Tagebuchs.
§ 5 – Der Minister und der Minister der Justiz sorgen dafür, dass der Abgeordnetenkammer jährlich eine Statistik über die Vorratsspeicherung der Daten übermittelt wird, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste beziehungsweise öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden.
Aus dieser Statistik muss hervorgehen:
1. in welchen Fällen gemäß den anwendbaren gesetzlichen Bestimmungen Daten an die zuständigen Behörden weitergegeben worden sind,
2. wie viel Zeit zwischen dem Zeitpunkt der Vorratsspeicherung der Daten und dem Zeitpunkt, zu dem sie von der zuständigen Behörde angefordert wurden, vergangen ist,
3. in welchen Fällen die Anfragen nach Daten ergebnislos geblieben sind.
Diese Statistik darf keine personenbezogenen Daten enthalten.
…“
9. Art. 5 bestimmt, dass in das Gesetz von 2005 folgender Art. 126/1 aufgenommen wird:
„§ 1 – Bei jedem in Artikel 126 § 1 Absatz 1 erwähnten Betreiber und Anbieter wird ein Koordinationsbüro eingerichtet, das beauftragt ist, den gesetzlich befugten belgischen Behörden auf deren Antrag hin aufgrund von Artikel 122, 123 und 126 auf Vorrat gespeicherte Daten, Identifizierungsdaten des Anrufers aufgrund von Artikel 107 § 2 Absatz 1 oder Daten, die aufgrund der Artikel 46bis, 88bis und 90ter des Strafprozessgesetzbuchs und der Artikel 18/7, 18/8, 18/16 und 18/17 des [Gesetzes vom 30. November 1998] angefordert werden können, zu übermitteln.
…
§ 2 – In Artikel 126 § 1 Absatz 1 erwähnte Betreiber und Anbieter richten interne Verfahren zur Beantwortung von Anfragen über den Zugang der Behörden zu den personenbezogenen Daten der Nutzer ein. Sie stellen dem Institut auf Anfrage Informationen über diese Verfahren, die Zahl der eingegangenen Anfragen, die vorgebrachten rechtlichen Begründungen und ihre Antworten zur Verfügung.
…
§ 3 – In Artikel 126 § 1 Absatz 1 erwähnte Betreiber und Anbieter bestimmen einen oder mehrere Beauftragte für den Schutz personenbezogener Daten, der beziehungsweise die die in § 1 Absatz 3 erwähnten kumulativen Bedingungen erfüllen muss.
…
Bei der Ausführung seiner Aufträge handelt der Beauftragte für den Schutz personenbezogener Daten vollkommen unabhängig und hat Zugang zu allen personenbezogenen Daten, die den Behörden übermittelt werden, und zu allen relevanten Räumlichkeiten von Anbieter und Betreiber.
…
§ 4 – Der König bestimmt durch einen im Ministerrat beratenen Erlass nach Stellungnahme des Ausschusses für den Schutz des Privatlebens und des Instituts:
…
2. Anforderungen, die das Koordinationsbüro erfüllen muss, unter Berücksichtigung der Situation von Betreiber und Anbieter, die wenige Anträge von Gerichtsbehörden erhalten, die keine Niederlassung in Belgien haben oder hauptsächlich im Ausland tätig sind,
3. Informationen, die dem Institut und Ausschuss für den Schutz des Privatlebens gemäß den Paragraphen 1 und 3 zu übermitteln sind, und Behörden, die Zugang zu diesen Informationen haben,
4. andere Regeln für die Zusammenarbeit der in Artikel 126 § 1 Absatz 1 erwähnten Betreiber und Anbieter mit den belgischen Behörden oder bestimmten unter ihnen für die Übermittlung der in § 1 erwähnten Daten, gegebenenfalls einschließlich Form und Inhalt des Antrags pro betroffene Behörde.
…“
10. Nach Art. 8 erhält Art. 46bis § 1 des Strafprozessgesetzbuchs folgende Fassung:
„§ 1 – Bei der Ermittlung von Verbrechen und Vergehen kann der Prokurator des Königs durch eine mit Gründen versehene schriftliche Entscheidung, indem er, wenn nötig, die Hilfe des Betreibers eines elektronischen Kommunikationsnetzes oder eines Anbieters eines elektronischen Kommunikationsdienstes oder eines vom König bestimmten Polizeidienstes anfordert, auf der Grundlage jeglicher Daten, die in seinem Besitz sind, oder durch einen Zugang zu den Kundendateien des Betreibers oder Anbieters Folgendes vornehmen oder vornehmen lassen:
1. die Identifizierung des Teilnehmers oder des gewöhnlichen Nutzers eines elektronischen Kommunikationsdienstes oder des benutzten elektronischen Kommunikationsmittels,
2. die Identifizierung der elektronischen Kommunikationsdienste, die eine bestimmte Person über einen Festvertrag bezieht oder die gewöhnlich von einer bestimmten Person benutzt werden.
Die Begründung spiegelt die Verhältnismäßigkeit unter Berücksichtigung des Privatlebens und die Subsidiarität gegenüber jeder anderen Ermittlungsaufgabe wider.
In Fällen äußerster Dringlichkeit kann jeder Gerichtspolizeioffizier mit der mündlichen und vorherigen Zustimmung des Prokurators des Königs durch eine mit Gründen versehene schriftliche Entscheidung diese Daten anfordern. Der Gerichtspolizeioffizier teilt dem Prokurator des Königs diese mit Gründen versehene schriftliche Entscheidung sowie die gesammelten Informationen binnen vierundzwanzig Stunden mit und begründet außerdem die äußerste Dringlichkeit.
Für Straftaten, die keine Hauptkorrektionalgefängnisstrafe von einem Jahr oder keine schwerere Strafe zur Folge haben können, kann der Prokurator des Königs oder, in Fällen äußerster Dringlichkeit, der Gerichtspolizeioffizier die in Absatz 1 erwähnten Daten nur für einen Zeitraum von sechs Monaten vor seiner Entscheidung anfordern.
§ 2 – Jeder Betreiber eines elektronischen Kommunikationsnetzes und jeder Anbieter eines elektronischen Kommunikationsdienstes, von dem gefordert wird, die in § 1 erwähnten Daten mitzuteilen, verschafft dem Prokurator des Königs oder dem Gerichtspolizeioffizier die beantragten Daten binnen einer vom König … festzulegenden Frist.
…
Jede Person, die aufgrund ihres Amtes Kenntnis von der Maßnahme erlangt oder dabei ihre Mitwirkung gewährt, unterliegt der Schweigepflicht. Jegliche Verletzung der Schweigepflicht wird gemäß Artikel 458 des Strafgesetzbuches geahndet.
Weigerung der Datenmitteilung wird mit einer Geldbuße von sechsundzwanzig bis zu zehntausend EUR geahndet.“
11. Gemäß Art. 9 erhält Art. 88bis des Strafprozessgesetzbuchs folgende Fassung:
„§ 1 – Wenn es schwerwiegende Indizien dafür gibt, dass die Straftaten eine Hauptkorrektionalgefängnisstrafe von einem Jahr oder eine schwerere Strafe zur Folge haben können, und wenn der Untersuchungsrichter der Meinung ist, dass es Umstände gibt, die die Erfassung von elektronischen Nachrichten oder die Lokalisierung der Herkunft oder der Bestimmung von elektronischen Nachrichten notwendig machen, um die Wahrheit herauszufinden, kann er, nötigenfalls indem er dazu direkt oder über einen vom König bestimmten Polizeidienst die technische Mitwirkung des Betreibers eines elektronischen Kommunikationsnetzes oder des Anbieters eines elektronischen Kommunikationsdienstes anfordert, Folgendes vornehmen oder vornehmen lassen:
1. die Erfassung der Verkehrsdaten von elektronischen Kommunikationsmitteln, von denen elektronische Nachrichten ausgehen oder ausgingen beziehungsweise an die elektronische Nachrichten gerichtet sind oder waren,
2. die Lokalisierung der Herkunft oder der Bestimmung von elektronischen Nachrichten.
In den in Absatz 1 erwähnten Fällen werden für jedes elektronische Kommunikationsmittel, für das die Verbindungsdaten erfasst werden oder die Herkunft oder Bestimmung der elektronischen Nachricht lokalisiert wird, Tag, Uhrzeit, Dauer und, wenn nötig, Ort der elektronischen Nachricht in einem Protokoll angegeben und festgehalten.
Der Untersuchungsrichter gibt die tatsächlichen Umstände der Sache, die die Maßnahme rechtfertigen, deren Verhältnismäßigkeit unter Berücksichtigung des Privatlebens und deren Subsidiarität gegenüber jeder anderen Ermittlungsaufgabe in einem mit Gründen versehenen Beschluss an.
Er gibt auch die Dauer der Maßnahme für die Zukunft an, die nicht länger als zwei Monate ab dem Beschluss betragen darf, unbeschadet einer Erneuerung, und gegebenenfalls den Zeitraum in der Vergangenheit, über den der Beschluss sich gemäß § 2 erstreckt.
…
§ 2 – In Bezug auf die Anwendung der in § 1 Absatz 1 erwähnten Maßnahme auf die Verkehrs- oder Standortdaten, die aufgrund von Artikel 126 des Gesetzes [von] 2005 … gespeichert werden, gelten folgende Bestimmungen:
– Für eine in Buch II Titel Iter des Strafgesetzbuches erwähnte Straftat kann der Untersuchungsrichter in seinem Beschluss die Daten für einen Zeitraum von zwölf Monaten vor dem Beschluss anfordern.
– Für eine andere in Artikel 90ter §§ 2 bis 4 erwähnte Straftat, die nicht im ersten Gedankenstrich erwähnt ist, oder für eine Straftat, die im Rahmen einer in Artikel 324bis des Strafgesetzbuches erwähnten kriminellen Organisation begangen worden ist, oder für eine Straftat, die eine Hauptkorrektionalgefängnisstrafe von fünf Jahren oder eine schwerere Strafe zur Folge haben kann, kann der Untersuchungsrichter in seinem Beschluss die Daten für einen Zeitraum von neun Monaten vor dem Beschluss anfordern.
– Für andere Straftaten kann der Untersuchungsrichter die Daten nur für einen Zeitraum von sechs Monaten vor dem Beschluss anfordern.
§ 3 – Die Maßnahme darf sich nur dann auf elektronische Kommunikationsmittel eines Rechtsanwalts oder Arztes beziehen, wenn dieser selber verdächtigt wird, eine in § 1 erwähnte Straftat begangen zu haben oder daran beteiligt gewesen zu sein, oder wenn genaue Tatsachen vermuten lassen, dass Dritte, die verdächtigt werden, eine in § 1 erwähnte Straftat begangen zu haben, seine elektronischen Kommunikationsmittel benutzen.
Die Maßnahme darf nicht durchgeführt werden, ohne dass – je nach Fall – der Präsident der Rechtsanwaltskammer oder der Vertreter der provinzialen Ärztekammer davon in Kenntnis gesetzt worden ist. Dieselben Personen werden vom Untersuchungsrichter darüber in Kenntnis gesetzt, welche Elemente seiner Meinung nach unter das Berufsgeheimnis fallen. Diese Elemente werden nicht im Protokoll festgehalten.
§ 4 …
Jede Person, die aufgrund ihres Amtes Kenntnis von der Maßnahme erlangt oder dabei ihre Mitwirkung gewährt, unterliegt der Schweigepflicht. Jegliche Verletzung der Schweigepflicht wird gemäß Artikel 458 des Strafgesetzbuches geahndet.
…“
12. Gemäß Art. 12 erhält Art. 13 des Gesetzes von 1998 folgende Fassung:
„Die Nachrichten- und Sicherheitsdienste können Informationen und personenbezogene Daten, die für die Erfüllung ihrer Aufträge von Nutzen sein können, ermitteln, sammeln, entgegennehmen und verarbeiten und eine Dokumentation anlegen, insbesondere über Ereignisse, Gruppierungen und Personen, die für die Erfüllung ihrer Aufträge von Interesse sind.
Die in der Dokumentation erfassten Angaben müssen in Zusammenhang mit dem Zweck der Datei stehen und sich auf die damit einhergehenden Erfordernisse beschränken.
Die Nachrichten- und Sicherheitsdienste sorgen für die Sicherheit der Angaben, die sich auf ihre Quellen beziehen, und der von diesen Quellen gelieferten Informationen und personenbezogenen Daten.
Die Bediensteten der Nachrichten- und Sicherheitsdienste haben Zugang zu den von ihrem Dienst gesammelten und verarbeiteten Informationen, Auskünfte[n] und personenbezogenen Daten, sofern diese bei der Ausübung ihrer Funktion oder ihres Auftrags nützlich sind.“
13. Durch Art. 14 wird Art. 18/3 neu gefasst, der nun bestimmt:
„§ 1 – Die in Artikel 18/2 § 1 erwähnten spezifischen Methoden zum Sammeln von Daten können unter Berücksichtigung einer potenziellen Gefahr im Sinne von Artikel 18/1 angewandt werden, wenn die gewöhnlichen Methoden zum Sammeln von Daten als unzureichend erachtet werden, um die zur Erfüllung des nachrichtendienstlichen Auftrags notwendigen Informationen zu sammeln. Die spezifische Methode muss entsprechend dem Ernst der potenziellen Gefahr, für die sie angewandt wird, gewählt werden.
Die spezifische Methode darf nur nach einer schriftlichen und mit Gründen versehenen Entscheidung des Dienstleiters und nach Notifizierung dieser Entscheidung an den Ausschuss angewandt werden.
§ 2 – Die Entscheidung des Dienstleiters enthält Folgendes:
1. die Art der spezifischen Methode,
2. je nach Fall, die natürlichen oder juristischen Personen, nichtrechtsfähigen Vereinigungen oder Gruppierungen, Gegenstände, Orte, Ereignisse oder Informationen, die Gegenstand der spezifischen Methode sind,
3. die potenzielle Gefahr, die die spezifische Methode rechtfertigt,
4. die tatsächlichen Umstände, die die spezifische Methode rechtfertigen, die Begründung in Sachen Subsidiarität und Verhältnismäßigkeit, einschließlich der Verbindung zwischen Nr. 2 und 3,
5. den Zeitraum ab der Notifizierung der Entscheidung an den Ausschuss, in dem die spezifische Methode angewandt werden kann,
…
9. gegebenenfalls, die ernstzunehmenden Indizien dafür, dass der Rechtsanwalt, der Arzt oder der Journalist persönlich und aktiv an der Entstehung oder der Entwicklung der potenziellen Gefahr mitwirkt oder mitgewirkt hat,
10. in dem Fall, in dem Artikel 18/8 Anwendung findet, die Begründung der Dauer des Zeitraums, auf den die Sammlung der Daten bezogen ist,
…
§ 8 – Der Dienstleiter beendet die spezifische Methode, wenn die potenzielle Gefahr, die die Methode gerechtfertigt hat, nicht mehr besteht, wenn die Methode für den Zweck, für den sie angewandt worden ist, nicht mehr nützlich ist oder wenn er eine Rechtsverletzung festgestellt hat. Er setzt den Ausschuss schnellstmöglich von seiner Entscheidung in Kenntnis.“
14. Art. 18/8 des Gesetzes vom 30. November 1998 erhält folgende Fassung:
„§ 1 – Die Nachrichten- und Sicherheitsdienste können im Interesse der Erfüllung ihrer Aufträge, notfalls indem sie dazu die technische Mitwirkung des Betreibers eines elektronischen Kommunikationsnetzes oder des Anbieters eines elektronischen Kommunikationsdienstes anfordern, Folgendes vornehmen oder vornehmen lassen:
1. die Erfassung der Verkehrsdaten von elektronischen Kommunikationsmitteln, von denen elektronische Nachrichten ausgehen oder ausgingen beziehungsweise an die elektronische Nachrichten gerichtet sind oder waren,
2. die Lokalisierung der Herkunft oder der Bestimmung von elektronischen Nachrichten.
…
§ 2 – In Bezug auf die Anwendung der in § 1 erwähnten Methode auf die Daten, die aufgrund von Artikel 126 des Gesetzes [von] 2005 … gespeichert werden, gelten folgende Bestimmungen:
1. Für eine potenzielle Gefahr, die sich auf eine Aktivität mit möglichem Bezug zu kriminellen Organisationen oder schädlichen sektiererischen Organisationen bezieht, kann der Dienstleiter in seiner Entscheidung die Daten nur für einen Zeitraum von sechs Monaten vor der Entscheidung anfordern.
2. Für eine potenzielle Gefahr, die nicht in Nr. 1 und Nr. 3 erwähnt ist, kann der Dienstleiter in seiner Entscheidung die Daten für einen Zeitraum von neun Monaten vor der Entscheidung anfordern.
3. Für eine potenzielle Gefahr, die sich auf eine Aktivität mit möglichem Bezug zu Terrorismus oder Extremismus bezieht, kann der Dienstleiter in seiner Entscheidung die Daten für einen Zeitraum von zwölf Monaten vor der Entscheidung anfordern …“
II. Sachverhalt und Vorlagefragen
15. Mit Urteil vom 11. Juni 2015(14) hat die Cour constitutionnelle (Verfassungsgerichtshof) die Neufassung von Art. 126 des Gesetzes von 2005 aus den gleichen Gründen für nichtig erklärt, die den Gerichtshof dazu bewogen hatten, mit dem Urteil Digital Rights die Richtlinie 2006/24 für ungültig zu erklären.
16. Der nationale Gesetzgeber hat angesichts dieser Nichtigerklärung das Gesetz vom 29. Mai 2016 verabschiedet (bevor das Urteil Tele2 Sverige und Watson ergangen ist).
17. VZ u. a., die Ordre des barreaux francophones et germanophone (im Folgenden: Ordre des barreaux), die Liga voor Mensenrechten ASBL (im Folgenden: LMR), die Ligue des Droits de l’Homme ASBL (im Folgenden: LDH) und die Académie Fiscale ASBL (im Folgenden: Académie Fiscale) haben beim vorlegenden Gericht Klagen auf Nichtigerklärung dieses Gesetzes wegen Verfassungswidrigkeit erhoben, und zwar im Wesentlichen mit der Begründung, dass es über das absolut Notwendige hinausgehe und keine ausreichenden Garantien biete.
18. Unter diesen Umständen hat die Cour constitutionnelle (Verfassungsgerichtshof) dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:
1. Ist Art. 15 Abs. 1 der Richtlinie 2002/58 in Verbindung mit dem Recht auf Sicherheit, das durch Art. 6 der Charta garantiert wird, und dem Recht auf Schutz der personenbezogenen Daten, wie es durch die Art. 7, 8 und Art. 52 Abs. 1 der Charta garantiert wird, dahin auszulegen, dass er einer nationalen Regelung wie der des Ausgangsverfahrens entgegensteht, die eine allgemeine Verpflichtung für Betreiber und Anbieter von elektronischen Kommunikationsdiensten vorsieht, die Verkehrs- und Standortdaten im Sinne der Richtlinie 2002/58 auf Vorrat zu speichern, die von ihnen im Rahmen der Bereitstellung dieser Dienste erzeugt oder verarbeitet werden, wenn diese nationale Regelung nicht nur das Ziel der Ermittlung, Feststellung und Verfolgung von schweren Straftaten, sondern auch die Sicherstellung der nationalen Sicherheit, der Landesverteidigung, der öffentlichen Sicherheit, die Ermittlung, Feststellung und Verfolgung von anderen Taten als denen der schweren Kriminalität oder die Verhütung eines untersagten Gebrauchs von elektronischen Kommunikationssystemen oder die Erreichung eines sonstigen Ziels verfolgt, das in Art. 23 Abs. 1 der Verordnung (EU) 2016/679 [des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1)] aufgeführt ist und das zudem den in diesen Rechtsvorschriften für die Vorratsspeicherung von Daten und den Zugang zu diesen genau festgelegten Garantien unterliegt?
2. Ist Art. 15 Abs. 1 der Richtlinie 2002/58 in Verbindung mit den Art. 4, 7, 8, 11 und Art. 52 Abs. 1 der Charta dahin auszulegen, dass er einer nationalen Regelung wie der des Ausgangsverfahrens entgegensteht, die eine allgemeine Verpflichtung für Betreiber und Anbieter von elektronischen Kommunikationsdiensten vorsieht, die Verkehrs- und Standortdaten im Sinne der Richtlinie 2002/58 auf Vorrat zu speichern, die von ihnen im Rahmen der Bereitstellung dieser Dienste erzeugt oder verarbeitet werden, wenn diese nationale Regelung insbesondere den Zweck hat, positive Verpflichtungen zu erfüllen, die der Behörde aufgrund der Art. 4 und 8 der Charta obliegen, und die darin besteht, einen gesetzlichen Rahmen vorzusehen, der eine wirksame strafrechtliche Ermittlung und eine wirksame Ahndung des sexuellen Missbrauchs von Minderjährigen ermöglicht und der eine wirkliche Identifizierung des Täters der Straftat ermöglicht, auch wenn von elektronischen Kommunikationsmitteln Gebrauch gemacht wird?
3. Falls der Verfassungsgerichtshof auf der Grundlage der Antworten auf die erste oder zweite Vorabentscheidungsfrage zu dem Schluss gelangen sollte, dass das angefochtene Gesetz gegen eine oder mehrere der Verpflichtungen verstößt, die sich aus den in diesen Fragen genannten Bestimmungen ergeben, könnte er die Wirkungen des streitigen Gesetzes vorläufig aufrechterhalten, um eine Rechtsunsicherheit zu vermeiden und zu ermöglichen, dass die zuvor gesammelten und auf Vorrat gespeicherten Daten noch für die durch das Gesetz angestrebten Ziele benutzt werden können?
III. Verfahren vor dem Gerichtshof
19. Das Vorabentscheidungsersuchen ist am 2. August 2018 beim Gerichtshof eingegangen.
20. VZ u. a., die Académie Fiscale, die LMR, die LDH, der Ordre des barreaux, die Fondation pour Enfants Disparus et Sexuellement Exploités (Child Focus), die deutsche, die belgische, die britische, die tschechische, die zyprische, die dänische, die spanische, die estnische, die französische, die ungarische, die irische, die niederländische, die polnische und die schwedische Regierung sowie die Kommission haben schriftliche Erklärungen eingereicht.
21. An der mündlichen Verhandlung vom 9. September 2019, die gemeinsam mit der in den Rechtssachen C‑511/18, C‑512/18 und C‑623/17 durchgeführt wurde, haben die Parteien der vier Vorabentscheidungsverfahren, die oben genannten Regierungen und die norwegische Regierung sowie die Kommission und der Europäische Datenschutzbeauftragte teilgenommen.
IV. Würdigung
22. Die erste Frage des vorliegenden Vorabentscheidungsersuchens entspricht im Wesentlichen den Vorlagefragen in den Rechtssachen C‑511/18 und C‑512/18, unterscheidet sich von diesen jedoch hinsichtlich der Ziele, denen die nationale Regelung dient, nämlich nicht nur dem Kampf gegen Terrorismus und die schwersten Fälle der Kriminalität oder dem Schutz der nationalen Sicherheit, sondern auch „der Landesverteidigung, der öffentlichen Sicherheit, der Ermittlung, Feststellung und Verfolgung von anderen Taten als denen der schweren Kriminalität“ und allgemein allen in Art. 23 Abs. 1 der Verordnung 2016/679 vorgesehenen Ziele.
23. Die zweite Frage knüpft an die erste an, ergänzt sie jedoch um die Frage, ob die den Behörden obliegenden positiven Verpflichtungen zur Ermittlung und Bestrafung des sexuellen Missbrauchs von Minderjährigen die streitigen Maßnahmen rechtfertigen können.
24. Die dritte Frage wird für den Fall gestellt, dass die nationale Regelung nicht mit dem Unionsrecht vereinbar ist. Das vorlegende Gericht möchte wissen, ob in diesem Fall die Wirkungen des Gesetzes vom 29. Mai 2016 vorläufig aufrechterhalten werden können.
25. Für die Klärung dieser Fragen werde ich zunächst prüfen, ob die Richtlinie 2002/58 anwendbar ist, wofür ich auf meine Schlussanträge in den anderen dieser Vorabentscheidungsersuchen verweise. Sodann werde ich die Grundzüge der einschlägigen Rechtsprechung des Gerichtshofs und ihr Entwicklungspotenzial darstellen. Schließlich werde ich die einzelnen Vorlagefragen beantworten.
A. Anwendbarkeit der Richtlinie 2002/58
26. Wie bei den anderen drei Vorabentscheidungsersuchen wird auch in der vorliegenden Rechtssache die Anwendbarkeit der Richtlinie 2002/58 in Frage gestellt. Da die Mitgliedstaaten hier das Gleiche vortragen wie den anderen Vorabentscheidungsverfahren, verweise ich insoweit auf die Schlussanträge in den Rechtssachen C‑511/18 und C‑512/18(15).
B. Die Rechtsprechung des Gerichtshofs zur Speicherung und zum Zugang zu personenbezogenen Daten durch die Behörden im Rahmen der Richtlinie 2002/58
1. Der Grundsatz der Vertraulichkeit der Kommunikation und der damit verbundenen Daten
27. Die Bestimmungen der Richtlinie 2002/58 stellen eine „Detaillierung und Ergänzung“ der Richtlinie 95/46/EG(16) dar, mit der im Rahmen elektronischer Kommunikationsdienste ein hochgradiger Schutz personenbezogener Daten erreicht werden soll(17).
28. Art. 5 Abs. 1 der Richtlinie 2002/58 sieht vor, dass die Mitgliedstaaten durch innerstaatliche Vorschriften die Vertraulichkeit der mit öffentlichen Kommunikationsnetzen und öffentlich zugänglichen Kommunikationsdiensten übertragenen Nachrichten und der damit verbundenen Verkehrsdaten sicherzustellen haben.
29. Die Vertraulichkeit der Kommunikation bedeutet u. a. (Art. 5 Abs. 1 Satz 2 der Richtlinie 2002/58), dass es jeder anderen Person als dem Nutzer untersagt ist, ohne dessen Einwilligung mit elektronischen Kommunikationen verbundene Verkehrsdaten zu speichern. Ausgenommen sind die „gesetzlich dazu ermächtigten Personen sowie die für die Weiterleitung einer Nachricht erforderliche technische Speicherung“(18).
30. Die Art. 5, 6 und 9 Abs. 1 der Richtlinie 2002/58 zielen darauf ab, die Vertraulichkeit der Kommunikationen und der damit verbundenen Daten zu wahren und das Risiko des Missbrauchs auf ein Mindestmaß zu verringern. Ihre Tragweite ist unter Berücksichtigung des 30. Erwägungsgrundes der Richtlinie zu beurteilen, wonach „[d]ie Systeme für die Bereitstellung elektronischer Kommunikationsnetze und ‑dienste … so konzipiert werden [sollten], dass so wenig personenbezogene Daten wie möglich benötigt werden“(19).
31. Hinsichtlich dieser Daten lässt sich unterscheiden zwischen
– Verkehrsdaten, die nur zur Gebührenabrechnung für die Dienste, zu deren Vermarktung und zur Bereitstellung von Diensten mit Zusatznutzen im dazu erforderlichen Maß und innerhalb des dazu erforderlichen Zeitraums verarbeitet und gespeichert werden dürfen (Art. 6 der Richtlinie 2002/58). Danach sind die verarbeiteten und gespeicherten Daten zu löschen oder zu anonymisieren(20);
– anderen Standortdaten als Verkehrsdaten, die nur unter bestimmten Voraussetzungen und nur dann verarbeitet werden dürfen, wenn sie anonymisiert wurden oder wenn die Nutzer oder Teilnehmer ihre Einwilligung gegeben haben (Art. 9 Abs. 1 der Richtlinie 2002/58)(21).
2. Die Beschränkungsklausel in Art. 15 Abs. 1 der Richtlinie 2002/58
32. Nach Art. 15 Abs. 1 der Richtlinie 2002/58 können die Mitgliedstaaten „Rechtsvorschriften erlassen, die die Rechte und Pflichten gemäß Artikel 5, Artikel 6, Artikel 8 Absätze 1, 2, 3 und 4 sowie Artikel 9 dieser Richtlinie beschränken“.
33. Eine solche Beschränkung muss „gemäß Artikel 13 Absatz 1 der Richtlinie [95/46] für die nationale Sicherheit, (d. h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig“ sein.
34. Hierbei handelt es sich um eine abschließende Aufzählung der Zwecke(22): Beispielsweise („unter anderem“) können „Rechtsvorschriften vorsehen, dass Daten aus den in diesem Absatz aufgeführten Gründen während einer begrenzten Zeit aufbewahrt werden“.
35. Auf jeden Fall müssen „[a]lle in diesem Absatz genannten Maßnahmen … den allgemeinen Grundsätzen des Gemeinschaftsrechts einschließlich den in Artikel 6 Absätze 1 und 2 des Vertrags über die Europäische Union niedergelegten Grundsätzen entsprechen“. Art. 15 Abs. 1 der Richtlinie 2002/58 muss somit im Licht der von der Charta garantierten Grundrechte ausgelegt werden(23).
36. Von den in der Charta anerkannten Rechten hat der Gerichtshof, soweit hier von Bedeutung, das Recht auf Achtung des Privatlebens (Art. 7), das Recht auf Schutz personenbezogener Daten (Art. 8) und das Recht auf freie Meinungsäußerung (Art. 11) genannt(24).
37. Bei der Auslegung von Art. 15 Abs. 1 der Richtlinie 2002/58 hat der Gerichtshof ferner zugrunde gelegt, dass die Ausnahmen von der Verpflichtung, die Vertraulichkeit der Kommunikationen und der damit verbundenen Verkehrsdaten zu gewährleisten, eng auszulegen sind.
38. Insbesondere hat er es abgelehnt, „dass die Ausnahme von dieser grundsätzlichen Verpflichtung und insbesondere von dem in Art. 5 der Richtlinie 2002/58 vorgesehenen Verbot, diese Daten zu speichern, zur Regel wird, soll die letztgenannte Vorschrift nicht weitgehend ausgehöhlt werden“(25).
39. Diese doppelte Feststellung ist in meinen Augen von entscheidender Bedeutung, um verstehen zu können, warum der Gerichtshof die allgemeine und unterschiedslose Speicherung von mit elektronischen Kommunikationen verbundenen Verkehrs- und Standortdaten als nicht mit der Richtlinie 2002/58 vereinbar angesehen hat.
40. Hierbei handelt es sich um nichts anderes als eine „strikte“(26) Anwendung des von ihm bereits früher angewandten Verhältnismäßigkeitskriteriums(27): „[D]er Schutz des Grundrechts auf Achtung des Privatlebens auf Unionsebene verlangt, dass sich die Ausnahmen vom Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut Notwendige beschränken“(28).
3. Verhältnismäßigkeit bei der Datenspeicherung
a) Unverhältnismäßigkeit einer allgemeinen und unterschiedslosen Speicherung
41. Dem Gerichtshof zufolge ist die Bekämpfung schwerer Kriminalität, insbesondere der organisierten Kriminalität und des Terrorismus, zwar von größter Bedeutung für die Gewährleistung der öffentlichen Sicherheit, und ihre Wirksamkeit kann in hohem Maß von der Nutzung moderner Ermittlungstechniken abhängen, doch kann „[e]ine solche dem Gemeinwohl dienende Zielsetzung …, so grundlegend sie auch sein mag, für sich genommen die Erforderlichkeit einer Speicherungsmaßnahme – wie sie die Richtlinie 2006/24 vorsieht – für die Kriminalitätsbekämpfung nicht rechtfertigen“(29).
42. Für die Feststellung, ob eine Maßnahme dieser Art auf das absolut Notwendige beschränkt ist oder nicht, hat der Gerichtshof insbesondere darauf abgestellt, dass der Eingriff in die in den Art. 7 und 8 der Charta verankerten Grundrechte als besonders schwerwiegend anzusehen ist(30). Die besondere Schwere des Eingriffs ergibt sich gerade daraus, dass die nationale Regelung „eine allgemeine und unterschiedslose Vorratsspeicherung sämtlicher Verkehrs- und Standortdaten aller Teilnehmer und registrierten Nutzer in Bezug auf alle elektronischen Kommunikationsmittel vorsieht und die Betreiber elektronischer Kommunikationsdienste verpflichtet, diese Daten systematisch und kontinuierlich auf Vorrat zu speichern, und zwar ausnahmslos“(31).
43. Wie stark diese Maßnahme in das Leben der Bürger eingreift, zeigen die Ausführungen des Gerichtshofs zu den Auswirkungen der Datenspeicherung.
In Bezug auf diese Daten(32) stellt er Folgendes fest:
– Die Daten „ermöglichen die Rückverfolgung und Identifizierung der Quelle und des Adressaten einer Nachricht sowie die Bestimmung von Datum, Uhrzeit, Dauer und Art einer Nachrichtenübermittlung, der Endeinrichtung von Benutzern und des Standorts mobiler Geräte“(33).
– „Aus diesen Daten geht insbesondere hervor, mit welcher Person ein Teilnehmer oder registrierter Benutzer auf welchem Weg kommuniziert hat, wie lange die Kommunikation gedauert hat und von welchem Ort aus sie stattfand. Ferner ist ihnen zu entnehmen, wie häufig der Teilnehmer oder registrierte Benutzer während eines bestimmten Zeitraums mit bestimmten Personen kommuniziert hat(34).“
– Aus diesen Daten „können sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert wurden, gezogen werden, etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren“(35).
– Die Daten „ermöglichen insbesondere … die Erstellung des Profils der betroffenen Personen, das im Hinblick auf das Recht auf Achtung der Privatsphäre eine genauso sensible Information darstellt wie der Inhalt der Kommunikationen selbst“(36).
44. Der Eingriff kann außerdem „bei den Betroffenen das Gefühl … erzeugen, dass ihr Privatleben Gegenstand einer ständigen Überwachung ist“, da „die Vorratsspeicherung der Daten vorgenommen wird, ohne dass die Nutzer der elektronischen Kommunikationsdienste darüber informiert werden“(37).
45. In Anbetracht der Schwere des Eingriffs vermag allein die Bekämpfung der schweren Kriminalität eine Datenspeicherung mit diesen Merkmalen zu rechtfertigen(38). Eine solche Maßnahme darf jedoch nicht zur Regel werden, da „nach dem mit der Richtlinie 2002/58 geschaffenen System die Vorratsspeicherung von Daten die Ausnahme zu sein hat“(39).
46. Da die betreffende Maßnahme „keine Differenzierung, Einschränkung oder Ausnahme in Abhängigkeit von dem verfolgten Ziel“ vorsieht(40) und „keinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen ist, und einer Bedrohung der öffentlichen Sicherheit“(41) verlangt, kommt es zu zwei weiteren Folgen:
– Zum einen betrifft die Maßnahme „pauschal sämtliche Personen, die elektronische Kommunikationsdienste nutzen, ohne dass sich diese Personen auch nur mittelbar in einer Lage befinden, die Anlass zur Strafverfolgung geben könnte. … Zudem sieht sie keine Ausnahme vor, so dass sie auch für Personen gilt, deren Kommunikationsvorgänge nach den nationalen Rechtsvorschriften dem Berufsgeheimnis unterliegen“(42).
– Zum anderen „beschränkt sie die Vorratsspeicherung weder auf die Daten eines Zeitraums und/oder eines geografischen Gebiets und/oder eines Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, noch auf Personen, deren auf Vorrat gespeicherte Daten aus anderen Gründen zur Bekämpfung von Straftaten beitragen könnten“(43).
47. Unter diesen Umständen hat die geprüfte nationale Regelung die Grenzen des absolut Notwendigen überschritten, so dass sie nicht als in einer demokratischen Gesellschaft gerechtfertigt angesehen werden konnte, wie es Art. 15 Abs. 1 der Richtlinie 2002/58 im Licht der Art. 7, 8, 11 und Art. 52 Abs. 1 der Charta verlangt(44).
b) Durchführbarkeit einer gezielten Vorratsspeicherung
48. Der Gerichtshof hat anerkannt, dass eine nationale Regelung, „die zur Bekämpfung schwerer Straftaten vorbeugend die gezielte Vorratsspeicherung von Verkehrs- und Standortdaten ermöglicht“(45), mit dem Unionsrecht vereinbar ist.
49. Eine solche gezielte Vorratsspeicherung ist dann rechtmäßig, wenn sie „hinsichtlich Kategorien der zu speichernden Daten, der erfassten elektronischen Kommunikationsmittel, der betroffenen Personen und der vorgesehenen Dauer der Vorratsspeicherung auf das absolut Notwendige beschränkt ist“.
50. Die im Urteil Tele2 Sverige und Watson aufgestellten Kriterien, anhand deren festzustellen ist, wann diese Bedingungen erfüllt sind, sind nicht (und können es wohl nicht sein) abschließend und eher allgemein formuliert. Um diese Kriterien einzuhalten, müssen die Mitgliedstaaten
– klare und präzise Regeln über die Tragweite und die Anwendung einer solchen Maßnahme der Vorratsdatenspeicherung vorsehen(46);
– objektive Kriterien festlegen, „die einen Zusammenhang zwischen den zu speichernden Daten und dem verfolgten Ziel herstellen“(47), und
– sich „auf objektive Anknüpfungspunkte stützen, die es ermöglichen, Personenkreise zu erfassen, deren Daten geeignet sind, einen zumindest mittelbaren Zusammenhang mit schweren Straftaten sichtbar zu machen, auf irgendeine Weise zur Bekämpfung schwerer Kriminalität beizutragen oder eine schwerwiegende Gefahr für die öffentliche Sicherheit zu verhindern“(48).
51. Als ein Beispiel für diese objektiven Anknüpfungspunkte hat der Gerichtshof auf die Möglichkeit hingewiesen, durch ein geografisches Kriterium die potenziell betroffenen Personenkreise und Situationen zu begrenzen. Damit wollte der Gerichtshof jedoch meines Erachtens nicht die zulässigen Selektivitätskriterien allein auf dieses von einigen Mitgliedstaaten beanstandete Kriterium beschränken.
4. Verhältnismäßigkeit beim Zugang zu den Daten
a) Urteil Tele2 Sverige und Watson
52. Der Gerichtshof hat sich mit dem Zugang der nationalen Behörden zu den Daten unabhängig vom Umfang der den Betreibern elektronischer Kommunikationsdienste auferlegten Pflicht zur Vorratsspeicherung von Daten und insbesondere unabhängig davon, ob die Datenspeicherung allgemein oder spezifisch erfolgt(49), befasst.
53. Obwohl der Zweck der Speicherung logischerweise darin besteht, den späteren Zugang zu den Daten zu erleichtern, können Speicherung und Zugang zu unterschiedlichen Verletzungen der durch die Charta geschützten Grundrechte führen. Diese Unterscheidung bedeutet jedoch nicht, dass einige der Erwägungen zur Speicherung nicht auch auf den Zugang zu den gespeicherten Daten Anwendung finden können.
54. In diesem Sinne muss der Zugang
– „tatsächlich strikt einem dieser Zwecke dienen“, die in Art. 15 Abs. 1 Satz 1 der Richtlinie 2002/58 genannt werden. Ferner muss der verfolgte Zweck im Verhältnis zur Schwere des mit dem Zugang einhergehenden Eingriffs in die Grundrechte stehen. Ist der Eingriff als schwerwiegend einzustufen, vermag nur die Bekämpfung schwerer Straftaten einen solchen Zugang zu rechtfertigen(50).
– Der Zugang darf nur innerhalb der Schranken des absolut Notwendigen genehmigt werden(51). Zudem müssen die Rechtsvorschriften „klare und präzise Regeln aufstellen, in denen angegeben ist, unter welchen Umständen und unter welchen Voraussetzungen die Betreiber elektronischer Kommunikationsdienste den zuständigen nationalen Behörden Zugang zu den Daten zu gewähren haben. Außerdem muss eine derartige Vorschrift im innerstaatlichen Recht verbindlich sein“(52).
– Insbesondere müssen die nationalen Regelungen „die materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den auf Vorrat gespeicherten Daten festlegen“(53).
55. Daraus lässt sich der Schluss ziehen, dass „ein allgemeiner Zugang zu allen auf Vorrat gespeicherten Daten unabhängig davon, ob irgendein – zumindest mittelbarer – Zusammenhang mit dem verfolgten Ziel besteht, nicht als auf das absolut Notwendige beschränkt angesehen werden“(54) kann.
56. Dem Gerichtshof zufolge „muss sich die betreffende nationale Regelung bei der Festlegung der Umstände und Voraussetzungen, unter denen den zuständigen nationalen Behörden Zugang zu den Daten von Teilnehmern oder registrierten Nutzern zu gewähren ist, auf objektive Kriterien stützen“(55). Insoweit „darf im Zusammenhang mit dem Zweck der Bekämpfung von Straftaten Zugang grundsätzlich nur zu den Daten von Personen gewährt werden, die im Verdacht stehen, eine schwere Straftat zu planen, zu begehen oder begangen zu haben oder auf irgendeine Weise in eine solche Straftat verwickelt zu sein“(56).
57. Mit anderen Worten muss der Anwendungsbereich der nationalen Vorschriften, die den zuständigen nationalen Behörden Zugang zu den gespeicherten Daten gewähren, ausreichend beschränkt werden. Es muss eine Verbindung zwischen den betroffenen Personen und dem verfolgten Ziel bestehen, d. h., der Zugang darf nicht eine große Anzahl von Personen oder sogar alle Personen, alle elektronischen Kommunikationsmittel und alle gespeicherten Daten betreffen.
58. Diese Regeln können jedoch unter bestimmten Umständen abgeschwächt werden. Der Gerichtshof spricht von „besonderen Situationen wie etwa solchen, in denen vitale Interessen der nationalen Sicherheit, der Landesverteidigung oder der öffentlichen Sicherheit durch terroristische Aktivitäten bedroht sind“. In solchen Situationen könnte „der Zugang zu Daten anderer Personen ebenfalls gewährt werden, wenn es objektive Anhaltspunkte dafür gibt, dass diese Daten in einem konkreten Fall einen wirksamen Beitrag zur Bekämpfung solcher Aktivitäten leisten könnten“(57).
59. Diese Feststellung des Gerichtshofs ermöglicht es den Mitgliedstaaten, für den Fall, dass es ausnahmsweise notwendig ist, Bedrohungen der vorrangigen Interessen des Staates (nationale Sicherheit, Landesverteidigung und öffentliche Sicherheit) zu bekämpfen(58), eine spezifische Regelung für einen weiter gehenden Zugang zu den Daten einzuführen, so dass auch nur mittelbar mit diesen Risiken in Verbindung stehende Personen einbezogen werden können.
60. Der Zugang der nationalen Behörden zu den gespeicherten Daten unterliegt, unabhängig von der Art der Daten, drei Voraussetzungen:
– Der Zugang muss „grundsätzlich – außer in hinreichend begründeten Eilfällen – einer vorherigen Kontrolle entweder durch ein Gericht oder eine unabhängige Verwaltungsstelle unterworfen“ sein. Die Entscheidung dieses Gerichts oder dieser Verwaltungsstelle muss „auf einen mit Gründen versehenen Antrag ergeh[en], der von den zuständigen nationalen Behörden u. a. im Rahmen von Verfahren zur Verhütung, Feststellung oder Verfolgung von Straftaten gestellt“ wird(59).
– „[D]ie zuständigen nationalen Behörden, denen Zugang zu den auf Vorrat gespeicherten Daten gewährt worden ist, [müssen] die betroffenen Personen im Rahmen der einschlägigen nationalen Verfahren davon in Kenntnis setzen, sobald die Mitteilung die behördlichen Ermittlungen nicht mehr beeinträchtigen kann“(60).
– Die Mitgliedstaaten sind verpflichtet, Vorschriften zur Sicherheit und zum Schutz der von den Betreibern elektronischer Kommunikationsdienste auf Vorrat gespeicherten Daten zu erlassen, um einen Missbrauch oder unberechtigten Zugang zu den Daten zu verhindern(61).
b) Das Urteil Ministerio Fiscal
61. In dieser Rechtssache war streitig, ob eine nationale Regelung, nach der die zuständigen Behörden Zugang zu Daten über die Identität der Inhaber bestimmter SIM-Karten erhalten, mit Art. 15 Abs. 1 der Richtlinie 2002/58, ausgelegt im Sinne der Art. 7 und 8 der Charta, vereinbar ist.
62. Der Gerichtshof hat entschieden, dass nach Art. 15 Abs. 1 Satz 1 der Richtlinie 2002/58 der Zweck der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten nicht auf die Bekämpfung schwerer Straftaten beschränkt ist, sondern „Straftaten“ im Allgemeinen betrifft(62).
63. Er hat weiter festgestellt, dass die Schwere des Eingriffs im Verhältnis zur Schwere der betreffenden Straftaten stehen muss, um den Zugang auf die Daten durch die zuständigen nationalen Behörden rechtfertigen zu können. Daraus folgt:
– Ein „schwerer Eingriff [kann] nämlich nur durch einen Zweck der Bekämpfung einer ebenfalls als ‚schwer‘ einzustufenden Kriminalität gerechtfertigt sein“(63).
– Ist dagegen „der mit einem solchen Zugang verbundene Eingriff nicht schwer, kann dieser Zugang durch einen Zweck der Verhütung, Ermittlung, Feststellung und Verfolgung von ‚Straftaten‘ im Allgemeinen gerechtfertigt sein“(64).
64. Von diesem Standpunkt ausgehend, hat der Gerichtshof anders als im Urteil Tele2 Sverige und Watson den Eingriff in die in den Art. 7 und 8 der Charta verankerten Grundrechte nicht als „schwer“ eingestuft, da der Antrag auf Zugang „ausschließlich darauf abzielt, die Identität der Inhaber von SIM-Karten festzustellen, die in einem Zeitraum von zwölf Tagen mit der IMEI des gestohlenen Mobiltelefons aktiviert wurden“(65).
65. Um hervorzuheben, dass es sich um einen weniger schwerwiegenden Eingriff handelt, hat der Gerichtshof festgestellt, dass „mit den Daten, auf die sich der im Ausgangsverfahren in Rede stehende Zugangsantrag bezieht, offenbar nur eine Verbindung zwischen der SIM-Karte oder den SIM-Karten, die mit dem gestohlenen Mobiltelefon aktiviert wurden, und der Identität der Inhaber dieser SIM-Karten während eines bestimmten Zeitraums hergestellt werden [kann]. Ohne einen Abgleich mit den Daten bezüglich der mittels dieser SIM-Karten erfolgten Kommunikation und den Standortdaten lassen sich diesen Daten weder das Datum, die Uhrzeit, die Dauer und die Adressaten der mittels der betreffenden SIM-Karte bzw. der betreffenden SIM-Karten erfolgten Kommunikation entnehmen noch die Orte, an denen diese Kommunikation erfolgte, oder die Häufigkeit dieser Kommunikation mit bestimmten Personen während eines bestimmten Zeitraums. Aus diesen Daten lassen sich daher keine genauen Schlüsse auf das Privatleben der Personen ziehen, deren Daten betroffen sind“(66).
66. In der Rechtssache, in der das Urteil Ministerio Fiscal ergangen ist, ging es nicht darum, ob die betreffenden personenbezogenen Daten von den Betreibern elektronischer Kommunikationsdienste unter Beachtung der in Art. 15 Abs. 1 der Richtlinie 2002/58 im Licht der Art. 7 und 8 der Charta vorgesehenen Voraussetzungen gespeichert wurden(67). Ebenso wenig wurde die Frage behandelt, ob die restlichen sich aus diesem Artikel ergebenden Zugangsvoraussetzungen erfüllt wurden oder nicht.
67. Aus dem Urteil Ministerio Fiscal lässt sich daher keine Änderung der mit dem Urteil Tele2 Sverige und Watson begründeten Rechtsprechung des Gerichtshofs herleiten, nach der eine nationale Regelung, die eine allgemeine und unterschiedslose Speicherung von Daten zulässt, nicht mit dem Unionsrecht vereinbar ist.
68. Ich bin jedoch der Auffassung, dass der Gerichtshof, indem er die Rechtmäßigkeit einer auf bestimmte personenbezogene Daten (Daten über die Identität der Inhaber bestimmter SIM-Karten) beschränkten Zugangsregelung anerkennt, implizit die Speicherung dieser Daten durch die Betreiber der elektronischen Kommunikationsdienste zulässt.
C. Die wichtigsten Einwände gegen die Rechtsprechung des Gerichtshofs
69. Sowohl das vorlegende Gericht als auch die meisten Mitgliedstaaten, die schriftliche Erklärungen eingereicht haben, ersuchen den Gerichtshof um Klärung, Anpassung oder auch Änderung verschiedener Aspekte seiner einschlägigen Rechtsprechung, an der sie Kritik üben.
70. Die meisten dieser indirekt oder direkt vorgebrachten Einwände wurden bereits im Hinblick auf das Urteil Digital Rights geäußert und im Urteil Tele2 Sverige und Watson zurückgewiesen. Sie werden nun erneut vorgebracht, um im Wesentlichen darauf hinzuweisen, dass strenge Regeln für den Zugang zu den bei den Betreibern elektronischer Kommunikationsdienste gespeicherten Daten ausreichen würden, um die Schwere des Eingriffs durch die allgemeine und unterschiedslose Speicherung dieser Daten in gewisser Weise zu kompensieren.
71. Mehrere kritische Stimmen heben hervor, dass es im Kampf gegen ernste Bedrohungen der Sicherheit und gegen Kriminalität im Allgemeinen wirklich effektiver Maßnahmen bedürfe, und fordern den Gerichtshof auf, das Recht auf Sicherheit (Art. 6 der Charta) sowie den Wertungsspielraum der Mitgliedstaaten bei der Gewährleistung der nationalen Sicherheit zu berücksichtigen. Es wird auch geltend gemacht, dass der Gerichtshof den präventiven Charakter der Maßnahmen der Nachrichten- und Sicherheitsdienste nicht berücksichtigt habe.
D. Meine Würdigung dieser Einwände und etwaiger Nuancierungen der Rechtsprechung des Gerichtshofs
72. Ich bin der Ansicht, dass der Gerichtshof den in seinen früheren Urteilen vertretenen grundsätzlichen Standpunkt beibehalten sollte: Eine Pflicht zur allgemeinen und unterschiedslosen Speicherung der Verkehrs- und Standortdaten aller Teilnehmer und registrierten Nutzer verstößt in unverhältnismäßiger Weise gegen die in den Art. 7, 8 und 11 der Charta verankerten Grundrechte.
73. Im Umkehrschluss könnte eine nationale Regelung, die für einige im Rahmen von elektronischen Kommunikationsdiensten erzeugte Daten angemessene Beschränkungen der Speicherung vorsieht, mit dem Unionsrecht vereinbar sein. Der Schlüssel liegt daher in der begrenzten Speicherung dieser Daten.
74. Wie ich im Folgenden erläutern werde, sollte die Speicherung nicht nur nach einem bestimmten geografischen Gebiet oder einer bestimmten Personengruppe eingegrenzt werden: Die Debatte über solche Speicherkriterien zeigt, dass diese entweder nicht praktikabel oder für die verfolgten Zwecke unwirksam sein oder sogar zu einer Diskriminierung führen könnten.
75. Zunächst einmal kann ich mich dem Argument, dass eine „umfassendere Speicherung durch einen eingeschränkteren Zugang“ kompensiert werden kann, nicht anschließen. Der Gerichtshof vertritt den Standpunkt, dass die Datenspeicherung und der Zugang zu den Daten zwei unterschiedliche Eingriffe darstellen. Dem stimme ich zu. Selbst wenn die Speicherung der Daten im Hinblick auf einen etwaigen späteren Zugang der zuständigen Behörden sinnvoll ist, muss jeder dieser Eingriffe gesondert durch eine spezifische Prüfung anhand des verfolgten Zieles gerechtfertigt werden.
76. Eine nationale Regelung, die eine allgemeine und unterschiedslose Speicherung von Daten vorsieht, lässt sich nicht damit rechtfertigen, dass die jeweiligen Vorschriften zugleich strenge materiell- und verfahrensrechtliche Voraussetzungen für den Zugang zu diesen Daten festlegen.
77. Es muss also Vorschriften speziell für die Datenspeicherung geben, die diese von bestimmten Bedingungen abhängig machen und so eine allgemeine und unterschiedslose Speicherung verhindern. Nur so kann sichergestellt werden, dass kein Verstoß gegen Art. 15 Abs. 1 der Richtlinie 2002/58 im Licht der Art. 7, 8, 11 und Art. 52 Abs. 1 der Charta vorliegt.
78. Dies ist auch der Ansatz der Arbeitsgruppen des Rates, die sich mit der Ausarbeitung von mit der Rechtsprechung des Gerichtshofs in Einklang stehenden Vorschriften über Speicherung und Zugang befassen und in diesem Zusammenhang die beiden Arten von Eingriffen parallel prüfen(68).
79. Da für beide Arten von Eingriffen Beschränkungen vorgesehen werden, könnte geprüft werden, ob die gemeinsame Wirkung der Beschränkungen in Kombination mit starken Garantien so weitreichend ist, dass die Auswirkungen der Datenspeicherung auf die in den Art. 7, 8 und 11 der Charta verankerten Grundrechte gemildert werden, während gleichzeitig die Wirksamkeit der Ermittlungen sichergestellt wird.
80. Um diese Rechte zu schützen, muss das System
– sicherstellen, dass die Datenspeicherung je nach Zielsetzung bestimmte Beschränkungen und Unterschiede vorsieht, und
– den Zugang zu diesen Daten nur in dem für den verfolgten Zweck absolut notwendigen Umfang und unter der Kontrolle eines Gerichts oder einer unabhängigen Verwaltungsbehörde zulassen.
81. Die Rechtfertigung dafür, dass die Betreiber elektronischer Kommunikationsdienste bestimmte Daten speichern, und zwar nicht nur zur Verwaltung ihrer Vertragspflichten gegenüber den Nutzern, wird parallel zur technologischen Entwicklung stärker. Ausgehend von dem (nur schwer zu widerlegenden(69)) Argument, dass die Speicherung nützlich ist, um Kriminalität zu verhüten und zu bekämpfen, erscheint es unlogisch, ihren Umfang auf die bloße Nutzung der von den Betreibern zur Ausübung ihrer gewerblichen Tätigkeit aufbewahrten Daten und auf den für diese Tätigkeit erforderlichen Zeitraum zu beschränken.
82. Sobald anerkannt wird, dass eine Pflicht zur Datenspeicherung, die über die von den Betreibern für ihre technischen und kommerziellen Erfordernisse vorgenommene Speicherung hinausgeht, der Gewährleistung der nationalen Sicherheit und der Bekämpfung der Kriminalität dient, ist es unerlässlich, die Grenzen dieser Pflicht festzulegen.
83. Eine solche Speicherungsregelung muss genau an den verfolgten Zweck angepasst sein, so dass sie sich nicht in eine unterschiedslose Datenspeicherung verwandeln kann(70). Sie muss auch sicherstellen, dass die Summe der Daten kein Abbild der betroffenen Person (d. h. ihrer üblichen Aktivitäten und sozialen Beziehungen) liefert, das dem ähnelt, das bei Kenntnis des Nachrichteninhalts entstünde.
84. Um einige Missverständnisse aus dem Weg zu räumen, ist zu beachten, worüber der Gerichtshof in den Urteilen Digital Rights und Tele2 Sverige und Watson nicht entschieden hat. Darin wurde nicht festgestellt, dass die bloße Existenz einer Datenspeicherungsregelung als ein zur Verbrechensbekämpfung nützliches Instrument unrechtmäßig ist. Im Gegenteil hat der Gerichtshof anerkannt, dass das Ziel einer Verhütung und Bekämpfung von Straftaten rechtmäßig und eine Datenspeicherungsregelung zur Erreichung dieses Ziels nützlich ist.
85. Entschieden abgelehnt wurde damals jedoch, wie ich hier noch einmal betonen möchte, dass die Union oder ihre Mitgliedstaaten unter Berufung auf dieses Ziel die unterschiedslose Datenspeicherung aller im Rahmen der Bereitstellung von elektronischen Kommunikationsdiensten erzeugten Daten vorschreiben und einen allgemeinen Zugang zu diesen Daten vorsehen können.
86. Es müssen daher Möglichkeiten der Datenspeicherung gefunden werden, die nicht mehr die fraglichen, mit dem in den Art. 7, 8 und 11 der Charta verankerten Schutz nicht in Einklang stehenden Merkmale („allgemein und unterschiedslos“) aufweisen.
87. Eine solche Möglichkeit wäre die gezielte Vorratsspeicherung von Daten, die sich entweder auf einen bestimmten Personenkreis (d. h. theoretisch diejenigen Personen, die bestimmte, mehr oder weniger direkte Verbindungen zu ernsten Bedrohungen aufweisen) oder auf ein bestimmtes geografisches Gebiet beziehen.
88. Dieser Ansatz bereitet jedoch folgende Schwierigkeiten:
– Die Identifizierung einer Gruppe potenzieller Täter ist wahrscheinlich unzureichend, wenn diese Täter Anonymisierungstechniken einsetzen oder ihre Identität fälschen. Die Auswahl dieser Gruppen könnte außerdem zu einem Generalverdacht gegenüber bestimmten Bevölkerungsgruppen führen und, je nach dem verwendeten Algorithmus, als diskriminierend angesehen werden.
– Eine Auswahl nach geografischen Kriterien (die, um wirksam zu sein, größere Bereiche umfassen müsste) führt nicht nur zu den gleichen, sondern auch zu zusätzlichen Problemen, wie der Europäische Datenschutzbeauftragte in der mündlichen Verhandlung erläutert hat, da dadurch bestimmte Gebiete stigmatisiert werden könnten.
89. Außerdem könnte ein gewisser Widerspruch zwischen dem präventiven Charakter einer sich auf einen bestimmten Personenkreis oder ein geografisches Gebiet beziehenden Speicherung und der Tatsache bestehen, dass weder die Täter noch Ort und Zeitpunkt der Begehung der Straftaten im Voraus bekannt sind.
90. Jedenfalls lässt sich nicht ausschließen, dass auf diesen Kriterien basierende Formeln für eine gezielte Vorratsspeicherung gefunden werden können, die für die Erreichung der genannten Ziele geeignet sind. Die Festlegung solcher mit dem vom Gerichtshof garantierten Grundrechtsschutz im Einklang stehenden Formeln ist Aufgabe der gesetzgebenden Gewalt der einzelnen Mitgliedstaaten bzw. der Union.
91. Es wäre ein Irrtum zu glauben, dass es sich bei der gezielten Vorratsspeicherung von Daten eines bestimmten Personenkreises oder eines bestimmten geografischen Gebiets um die einzige Formel handelt, die der Gerichtshof mit Art. 15 Abs. 1 der Richtlinie 2002/58 im Licht der Art. 7 und 8 der Charta für vereinbar hält.
92. Ich möchte noch einmal betonen, dass sich andere Möglichkeiten der gezielten Vorratsspeicherung als solche, die sich auf bestimmte Personengruppen oder geografische Gebiete konzentrieren, finden lassen. Die Arbeitsgruppen des Rates, auf die ich zuvor Bezug genommen habe, vertreten den gleichen Standpunkt. Sie haben insbesondere folgende Möglichkeiten in Betracht gezogen: die Beschränkung der Kategorien der gespeicherten Daten(71), die Pseudonymisierung der Daten(72), die Begrenzung der Aufbewahrungsfristen(73), den Ausschluss bestimmter Kategorien von Betreibern elektronischer Kommunikationsdienste(74), die Erneuerung der Genehmigung zur Speicherung(75), die Verpflichtung zur Aufbewahrung der gespeicherten Daten an einem Ort innerhalb der Union oder die systematische und regelmäßige Kontrolle durch eine unabhängige Verwaltungsbehörde der von den Betreibern elektronischer Kommunikationsdienste gebotenen Garantien gegen den Datenmissbrauch.
93. Um mit der Rechtsprechung des Gerichtshofs vereinbar zu sein, ist meiner Auffassung nach eine vorübergehende Speicherung bestimmter Kategorien von Verkehrs- und Standortdaten vorzuziehen, die streng nach den Sicherheitsanforderungen begrenzt sind und in ihrer Gesamtheit kein genaues und detailliertes Abbild vom Leben der betroffenen Personen liefern.
94. In der Praxis bedeutet dies, dass von den beiden Hauptkategorien (Verkehrs- und Standortdaten) mit Hilfe der entsprechenden Filter nur das Minimum an Daten gespeichert werden darf, das für die wirksame Verhütung und Kontrolle der Kriminalität sowie für die nationale Sicherheit als absolut unerlässlich erachtet wird.
95. Es ist Aufgabe der Mitgliedstaaten bzw. der Unionsorgane, diese Auswahl auf gesetzgeberischem Wege (mit Hilfe ihrer jeweiligen Sachverständigen) vorzunehmen und dabei jeden Versuch der Einführung einer allgemeinen und unterschiedslosen Speicherung aller Verkehrs- und Standortdaten zu unterlassen.
96. Abgesehen von dieser Beschränkung nach Kategorien dürfen die Daten nur für einen gewissen Zeitraum gespeichert werden, damit aus ihnen kein detailliertes Abbild vom Leben der betroffenen Personen abgeleitet werden kann. Die Aufbewahrungsfrist ist außerdem an die Art der Daten anzupassen, d. h., die Daten, die genauere Informationen über den Lebensstil und die Gewohnheiten dieser Personen liefern, dürfen nur für einen kürzeren Zeitraum gespeichert werden(76).
97. Mit anderen Worten sollte die Möglichkeit einer Differenzierung der Aufbewahrungsfristen der einzelnen Datenkategorien entsprechend ihrer Zweckmäßigkeit für die Erreichung der Sicherheitsziele geprüft werden. Indem die Zeit, in der die jeweiligen Datenkategorien gleichzeitig gespeichert (und somit zur Feststellung von Zusammenhängen, die den Lebensstil der Betroffenen offenbaren, verwendet) werden, begrenzt wird, erweitert sich der Schutz des in Art. 8 der Charta verankerten Rechts.
98. Entsprechend hat sich der Europäische Datenschutzbeauftragte in der mündlichen Verhandlung geäußert: Je mehr Kategorien von Metadaten gespeichert werden und je länger die Aufbewahrungsfrist ist, desto einfacher ist es, das detaillierte Profil einer Person zu definieren, und umgekehrt(77).
99. Wie sich in der mündlichen Verhandlung ebenfalls gezeigt hat, ist die Grenze zwischen bestimmten Metadaten der elektronischen Kommunikation und dem Inhalt dieser Kommunikation schwer zu ziehen. Einige Metadaten können mindestens genauso aussagekräftig sein wie der Nachrichteninhalt: Ein Beispiel hierfür sind die Adressen (URLs) der besuchten Webseiten(78). Daher sind diese Art von Daten sowie andere vergleichbare Daten besonders zu berücksichtigen, und die Notwendigkeit ihrer Speicherung sowie die Aufbewahrungsfrist ist so weit wie möglich zu begrenzen.
100. Hier eine ausgewogene Entscheidung zu treffen, ist nicht einfach, da die Ermittlungs- und Überwachungsdienste durch Abgleich und Verknüpfung der gespeicherten Daten einen Verdächtigen bzw. eine Bedrohung identifizieren können. Dennoch gibt es einen graduellen Unterschied zwischen einer Datenspeicherung zwecks Ermittlung eines Verdächtigen oder einer Bedrohung und einer Datenspeicherung, die zu einem detaillierten Abbild des Lebens einer Person führt.
101. Solange in diesem spezifischen Bereich keine gemeinsame Regelung für die gesamte Union vorliegt, kann meines Erachtens nicht erwartet werden, dass der Gerichtshof eine Regelungsfunktion übernimmt und im Detail festlegt, welche Datenkategorien wie lange aufbewahrt werden dürfen. Nach der Bestimmung der Grenzen, die sich nach der Rechtsprechung des Gerichtshofs aus der Charta ergeben, ist es Aufgabe der Unionsorgane und der Mitgliedstaaten, an der richtigen Stelle anzusetzen, um ein Gleichgewicht zwischen der Gewährleistung der Sicherheit und den durch die Charta geschützten Grundrechten herzustellen.
102. Es ist zwar richtig, dass ein Verzicht auf die Informationen, die sich aus einer größeren Menge an gespeicherten Daten ableiten ließen, in einigen Fällen den Kampf gegen potenzielle Bedrohungen schwieriger gestalten könnte. Hierbei handelt es sich jedoch um den Preis, den die öffentlichen Behörden u. a. zahlen müssen, wenn sie sich selbst die Pflicht zum Schutz der Grundrechte auferlegen.
103. Genauso, wie niemand eine Ex-ante-Verpflichtung zur allgemeinen und unterschiedslosen Vorratsspeicherung der Inhalte von privater elektronischer Kommunikation unterstützen würde (und zwar selbst dann nicht, wenn die Gesetze den anschließenden Zugang zu diesen Inhalten beschränken), dürfen auch die Metadaten dieser Kommunikation, die auf Informationen schließen lassen, die so sensibel sind wie die Inhalte selbst, nicht allgemein und unterschiedslos gespeichert werden.
104. Ich gebe zu, dass es für den Gesetzgeber schwierig ist, die Fälle und Bedingungen, unter denen eine gezielte Vorratsspeicherung durchgeführt werden kann, genau zu bestimmen, doch rechtfertigt dies meines Erachtens nicht, dass die Mitgliedstaaten die Ausnahme zur Regel und die allgemeine Speicherung personenbezogener Daten zum Kernprinzip ihrer Rechtsvorschriften machen. Ansonsten käme es zu einer unbefristeten schwerwiegenden Verletzung des Rechts auf Schutz der personenbezogenen Daten.
105. Ich muss abschließend hinzufügen, dass nicht ausgeschlossen ist, dass die nationalen Rechtsvorschriften in bestimmten, durch eine unmittelbar bevorstehende Bedrohung oder eine außergewöhnliche Gefahr gekennzeichneten Ausnahmesituationen, die in einem Mitgliedstaat eine offizielle Erklärung des Notstands rechtfertigen, für einen begrenzten Zeitraum eine so weitgehende und allgemeine Pflicht zur Vorratsspeicherung vorschreiben können, wie es für erforderlich erachtet wird.
106. Unter diesen Umständen könnte eine Regelung erlassen werden, die spezifisch eine weiter gehende Datenspeicherung (und den Zugriff auf diese Daten) erlaubt, sofern durch die entsprechenden Bedingungen und Verfahren der außerordentliche Charakter der Maßnahmen hinsichtlich ihres materiellen und zeitlichen Umfangs sowie die entsprechenden Rechtsschutzgarantien sichergestellt werden.
107. Bei einem Vergleich der Rechtsvorschriften, die verfassungsrechtliche Notsituationen regeln, zeigt sich, dass es nicht unmöglich ist, Tatbestände abzugrenzen, die zur Anwendung einer spezifischen Regelung führen können, und festzulegen, welche Behörde eine solche Entscheidung treffen kann, unter welchen Bedingungen und unter welcher Aufsicht(79).
E. Beantwortung der drei Vorabentscheidungsfragen
1. Vorbemerkung
108. Das vorlegende Gericht fragt nach der Auslegung von Art. 15 Abs. 1 der Richtlinie 2002/58 in Verbindung mit verschiedenen in der Charta verankerten Grundrechten: dem Recht auf Achtung des Privat- und Familienlebens (Art. 7), dem Recht auf Schutz personenbezogener Daten (Art. 8) und dem Recht auf Freiheit der Meinungsäußerung und Informationsfreiheit (Art. 11).
109. Wie ich in den Schlussanträgen in den Rechtssachen C‑511/18 und C‑512/18 erläutere, sind dies die Rechte, die nach Auffassung des Gerichtshofs in diesen Rechtssachen verletzt sein könnten.
110. Die Cour constitutionnelle (Verfassungsgerichtshof) führt allerdings auch die Art. 4 und 6 der Charta an, auf die sich die zweite bzw. die erste Vorlagefrage beziehen.
111. Art. 6 der Charta, der das Recht auf Freiheit und Sicherheit garantiert, wurde auch in den Rechtssachen C‑511/18 und C‑512/18 geltend gemacht, und zur Erheblichkeit dieses Artikels habe ich mich in den entsprechenden Schlussanträgen geäußert, auf die ich mich hiermit beziehe(80).
112. Da in Bezug auf Art. 4 die Antwort weniger von der Würdigung der nationalen Rechtsvorschriften und einer Gegenüberstellung mit dem Unionsrecht abhängt, sondern eher von der Auslegung des Artikels selbst, scheint es mir angebracht, zuerst darauf einzugehen.
2. Zweite Vorlagefrage
113. Nur im vorliegenden Vorabentscheidungsersuchen wird auf das in Art. 4 der Charta verankerte Verbot der Folter und unmenschlicher oder erniedrigender Strafe oder Behandlung verwiesen, und folglich muss ich mich damit befassen.
114. Mit dem Verweis auf Art. 4 der Charta möchte das vorlegende Gericht betonen, dass die nationale Vorschrift auch darauf abzielt, die positive Verpflichtung der Behörden zu erfüllen, „einen gesetzlichen Rahmen vorzusehen, der eine wirksame strafrechtliche Ermittlung und eine wirksame Ahndung des sexuellen Missbrauchs von Minderjährigen ermöglicht und der eine wirkliche Identifizierung des Täters der Straftat ermöglicht, auch wenn von elektronischen Kommunikationsmitteln Gebrauch gemacht wird“(81).
115. Nach meiner Überzeugung unterscheidet sich diese konkrete positive Verpflichtung nicht wesentlich von den sonstigen spezifischen Verpflichtungen, die sich für den Staat aus der Verkündung eines Grundrechtskatalogs ergeben. Das Recht auf Leben (Art. 2 der Charta), das Recht auf Unversehrtheit (Art. 3 der Charta) oder das Recht auf den Schutz personenbezogener Daten (Art. 8 der Charta) sowie die Freiheit der Meinungsäußerung (Art. 11 der Charta) oder die Gedanken‑, Gewissens- und Religionsfreiheit (Art. 10 der Charta) beinhalten für den Staat die Pflicht zur Schaffung eines rechtlichen Rahmens, in dem die tatsächliche Wahrnehmung dieser Rechte, erforderlichenfalls durch die vom Staat monopolisierte Hoheitsgewalt, gegenüber jedem, der diese Wahrnehmung verhindern oder erschweren möchte, sichergestellt wird(82).
116. In Bezug auf den sexuellen Missbrauch von Kindern hat der EGMR entschieden, dass Kinder und andere schutzbedürftige Personen ein qualifiziertes Recht auf Schutz durch den Staat haben, der verpflichtet ist, strafrechtliche Vorschriften zu erlassen, die die Begehung solcher Straftaten wirksam und mit abschreckender Wirkung ahnden(83).
117. Dieses qualifizierte Recht auf Schutz findet sich nicht nur in Art. 4 der Charta, da sich natürlich auch Art. 1 (Würde des Menschen) oder Art. 3 (Recht auf körperliche und geistige Unversehrtheit) anführen ließen.
118. Obwohl die positive Verpflichtung der Behörden zum Schutz von Kindern und anderen schutzbedürftigen Personen bei der Abwägung der durch die nationale Regelung beeinträchtigten Rechtsgüter nicht außer Acht gelassen werden sollte(84), darf sie weder zu einer „übermäßigen Belastung“ für die Behörden(85) führen, noch am Rande der Legalität oder unter Missachtung anderer Grundrechte erfüllt werden(86).
3. Erste Vorlagefrage
119. Das vorlegende Gericht möchte im Wesentlichen wissen, ob das Unionsrecht dem nationalen Gesetz entgegensteht, über das es im Rahmen einer Klage auf Nichtigerklärung wegen Verfassungswidrigkeit zu entscheiden hat.
120. Da der Gerichtshof die Richtlinie 2002/58 bereits im Einklang mit den entsprechenden Artikeln der Charta ausgelegt hat, sind bei der Beantwortung dieser Vorlagefrage die Erwägungen im Urteil Tele2 Sverige und Watson zu berücksichtigen, die gegebenenfalls im Folgenden zu nuancieren sind.
121. Davon ausgehend müssen sich die Auslegungshinweise, die der Cour constitutionnelle (Verfassungsgerichtshof) gegeben werden, damit sie die Vereinbarkeit der internen Regelung mit dem Unionsrecht prüfen kann, gesondert mit der Speicherung der Daten und mit dem Zugang zu den Daten, so wie sie in diesen nationalen Rechtsvorschriften geregelt sind, befassen.
a) Bedingungen für die Datenspeicherung
122. Nach den Angaben der belgischen Regierung war es ihr Ziel, einen klaren rechtlichen Rahmen, der die für den Schutz des Privatlebens notwendigen Garantien einschließt, zu schaffen und sich dabei nicht auf die Praxis der Betreiber elektronischer Kommunikationsdienste bei der Speicherung von Daten zum Zweck der Abrechnung und der Bearbeitung von Kundenanfragen zu stützen.
123. Die allgemeine und vorbeugende Verpflichtung zur Datenspeicherung verfolgt der belgischen Regierung zufolge nicht nur den Zweck der Ermittlung, Feststellung und Verfolgung von schweren Straftaten, sondern auch die Gewährleistung der nationalen Sicherheit, der Landesverteidigung, der öffentlichen Sicherheit, die Ermittlung, Feststellung und Verfolgung von anderen Taten als denen der schweren Kriminalität oder die Verhütung eines untersagten Gebrauchs von elektronischen Kommunikationssystemen(87) oder die Erreichung eines sonstigen Ziels, das in Art. 23 Abs. 1 der Verordnung (EU) 2016/679 aufgeführt ist.
124. Die belgische Regierung erklärt Folgendes:
– Die Speicherung der Daten als solche lässt keine genauen Schlussfolgerungen auf das Privatleben der betroffenen Personen zu: Die Möglichkeit solcher Schlussfolgerungen bestehe nur insoweit, als auch der Zugang zu den gespeicherten Daten ermöglicht wird.
– Das Gesetz enthält Vorkehrungen zum Schutz der Privatsphäre; u. a. bezieht sich die Datenspeicherung nicht auf den Inhalt der Kommunikationen; die Garantien in Bezug auf die Rechtfertigung der Speicherung, das Recht auf Zugang, das Recht auf Berichtigung und weitere Rechte gelten in vollem Umfang; die Anbieter und Betreiber sind verpflichtet, die gespeicherten Daten den gleichen Sicherheits- und Schutzpflichten und ‑maßnahmen, die auch für Daten im Netz gelten, zu unterwerfen und ihre unbeabsichtigte oder rechtswidrige Zerstörung, ihren Verlust oder eine versehentliche Veränderung zu verhindern.
– Die Daten dürfen für zwölf Monate im Gebiet der Europäischen Union gespeichert werden (und sind nach Ablauf dieser Frist zu löschen).
– Die Anbieter und Betreiber sind verpflichtet, technologische Schutzmaßnahmen zu ergreifen, die die auf Vorrat gespeicherten Daten ab ihrer Registrierung für nicht zugangsberechtigte Personen unlesbar und unbrauchbar machen.
– Auf jeden Fall erfolgen diese Vorgänge unter der Aufsicht der belgischen Behörde für Post und Telekommunikation sowie der Datenschutzbehörde.
125. Trotz dieser Garantien erlegen die belgische Rechtsvorschriften den Betreibern und Anbietern elektronischer Kommunikationsdienste eine Pflicht zur allgemeinen und unterschiedslosen Speicherung der im Rahmen der Bereitstellung dieser Dienste verarbeiteten Verkehrs- und Standortdaten im Sinne der Richtlinie 2002/58 auf. Die Daten werden, wie ausgeführt, allgemein für zwölf Monate gespeichert: Es gibt keine von der Kategorie der gespeicherten Daten abhängige zeitliche Begrenzung.
126. Diese Verpflichtung zur allgemeinen und unterschiedslosen Vorratsspeicherung besteht dauerhaft und ohne Unterbrechung. Selbst wenn ihr Zweck die Verhütung, Ermittlung und Verfolgung von Straftaten aller Art ist (d. h. von Straftaten im Zusammenhang mit der nationalen Sicherheit oder der Landesverteidigung oder von besonders schweren Straftaten bis hin zu Straftaten, die mit einer Freiheitsstrafe von weniger als einem Jahr geahndet werden), steht eine solche Pflicht nicht im Einklang mit der Rechtsprechung des Gerichtshofs und ist auch nicht mit der Charta vereinbar.
127. Um sich an diese Rechtsprechung anzupassen, wird der belgische Gesetzgeber andere Wege (wie ich sie vorstehend beschrieben habe) mit Formeln für eine begrenzte Speicherung suchen müssen. Diese je nach Datenkategorie variablen Formeln müssen den Grundsatz wahren, dass abhängig vom Risiko bzw. von der Bedrohung nur das erforderliche Minimum an Daten gespeichert werden darf, und dies nur für einen von der Art der gespeicherten Informationen abhängigen Zeitraum. Auf jeden Fall darf die Speicherung keine genaue Kartografie des Privatlebens, der Gewohnheiten, der Aktivitäten oder der sozialen Beziehungen der Betroffenen liefern.
b) Bedingungen für den Zugang der Behörden zu den gespeicherten Daten
128. Nach meiner Überzeugung bleiben die im Urteil Tele2 Sverige und Watson(88) genannten Bedingungen auch in Bezug auf den Zugang relevant: Die nationale Regelung muss die materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den auf Vorrat gespeicherten Daten festlegen(89).
129. Die belgische Regierung erläutert, dass Art. 126 Abs. 2 des Gesetzes von 2005 (über die elektronische Kommunikation)(90) die nationalen Behörden, die gemäß Art. 126 Abs. 1 Zugang zu den gespeicherten Daten erhalten können, abschließend aufführt.
130. Zu diesen Behörden gehören die Gerichtsbehörden und die Staatsanwaltschaft, die Staatssicherheitskräfte, der allgemeine Nachrichten- und Sicherheitsdienst unter der Kontrolle von zwei unabhängigen Kommissionen, Gerichtspolizeioffiziere des belgischen Instituts für Post und Telekommunikation, Hilfsdienste, Gerichtspolizeioffiziere der Vermisstenzelle der Föderalen Polizei, der Ombudsdienst für Telekommunikation und das Aufsichtsorgan des Finanzsektors.
131. Generell können die verschiedenen Dienste der belgischen Regierung zufolge nach den internen Rechtsvorschriften keinen Zugang zu Daten erhalten, um nicht identifizierte Bedrohungen aktiv oder ohne konkrete Anweisungen zu verfolgen. Die nationalen Behörden können nicht ohne Weiteres auf die rohen Kommunikationsdaten zugreifen und diese automatisch verarbeiten, um Informationen zu erhalten und Gefahren für die Sicherheit aktiv vorzubeugen.
132. Der Zugang zu den Daten unterliegt nach Angaben der belgischen Regierung unabhängig vom Status der jeweiligen zuständigen nationalen Behörde strengen Bedingungen.
133. Für die Beantwortung der ersten Vorlagefrage ist es meines Erachtens nicht erforderlich, dass der Gerichtshof die Bedingungen, unter denen die einzelnen Behörden Zugang zu den gespeicherten Daten erhalten, eingehend analysiert. Dies ist eher die Aufgabe des vorlegenden Gerichts, das hierbei die Vorgaben der Urteile Tele2 Sverige und Watson und Ministerio Fiscal zu berücksichtigen hat.
134. Ansonsten bestehen nach Angaben der belgischen Regierung wesentliche Unterschiede zwischen den Bedingungen für den Zugang durch die Gerichtsbehörden oder die Staatsanwaltschaft(91) zum Zweck der Ermittlung, Untersuchung und Verfolgung von Straftaten gemäß den Art. 46bis(92) und 88bis(93) des Strafprozessgesetzbuchs und den Bedingungen für den Zugang durch andere Behörden.
135. Ein Antrag der Nachrichten- und Sicherheitsdienste auf Zugang zu den im Besitz der Betreiber befindlichen Verkehrs- und Sicherheitsdaten muss nach dem Gesetz von 1998 auf objektiven Kriterien beruhen, um sicherzustellen, dass der Zugang auf das absolut Notwendige beschränkt ist und auf einer zuvor identifizierten Bedrohung beruht(94). Abhängig von der potenziellen Bedrohung sind unterschiedliche Zugangsfristen (sechs, neun oder zwölf Monate) vorgesehen, und die Anforderung muss den Grundsätzen der Verhältnismäßigkeit und Subsidiarität entsprechen. Außerdem wurde ein Kontrollmechanismus eingeführt, für den eine unabhängige Behörde zuständig ist(95).
136. Die Gerichtspolizeioffiziere des belgischen Instituts für Post und Telekommunikation (BIPT) haben in sehr begrenzten Einzelfällen(96) und unter der Aufsicht der Staatsanwaltschaft Zugang zu den im Besitz der Telekommunikationsbetreiber befindlichen Daten, wobei ihre Tätigkeit nach Angaben der belgischen Regierung jedoch nicht die Personen betrifft, deren Daten gespeichert werden.
137. Hilfsdienste, die Hilfe vor Ort anbieten, können im Fall eines Notrufs die Daten des Anrufers anfordern, wenn sie nach einem Notruf vom betreffenden Anbieter oder Betreiber nicht die Identifizierungsdaten des Anrufers bzw. unvollständige oder fehlerhafte Daten erhalten.
138. Gerichtspolizeioffiziere der Vermisstenzelle der Föderalen Polizei können vom Betreiber die erforderlichen Daten anfordern, um eine vermisste Person zu finden, deren körperliche Unversehrtheit unmittelbar in Gefahr ist. Der Zugang unterliegt strengen Bedingungen und ist beschränkt auf die während der 48 Stunden vor dem Antrag gespeicherten Daten, die die Feststellung der Identität des Nutzers ermöglichen, sowie auf Daten über Zugang und Verbindung der Endeinrichtung zu Netzwerk und Dienst sowie über den Standort dieser Ausrüstung.
139. Der Ombudsdienst für Telekommunikation kann nur die Daten zur Identifizierung von Personen anfordern, die ein elektronisches Kommunikationsnetz bzw. einen elektronischen Kommunikationsdienst böswillig verwendet haben. In diesem Fall existiert keine vorherige Kontrolle durch eine unabhängige Gerichts- oder Verwaltungsbehörde (außer durch den Dienst selbst).
140. Schließlich kann das Aufsichtsorgan des Finanzsektors nach vorheriger Genehmigung des Untersuchungsrichters Zugang zu den Verkehrs- und Standortdaten erhalten, um die Finanzkriminalität zu bekämpfen.
141. Die Darstellung dieser für die einzelnen befugten Behörden geltenden Modalitäten und Bedingungen für den Zugang zu den gespeicherten Daten zeigt zahlreiche Fälle und Schutzmaßnahmen auf, und es ist Sache des vorlegenden Gerichts, diese im Detail an die vom Gerichtshof in seiner Rechtsprechung(97) festgelegten Kriterien anzupassen.
142. Ich stelle jedoch z. B. fest, dass aus den streitigen Rechtsvorschriften nicht hervorgeht, dass die zuständigen nationalen Behörden systematisch verpflichtet wären, die betroffenen Personen über den Zugang zu ihren Daten zu unterrichten (sofern dies nicht die laufenden Ermittlungen beeinträchtigt). Zumindest in einigen Fällen, wie z. B. bei den Finanzdelikten, werden offenbar keine Regeln über die Schwere solcher Delikte festgelegt, um den Zugang zu den entsprechenden Daten zu rechtfertigen. Ein Zusammenhang zwischen der Intensität des Eingriffs und der Schwere der zu ermittelnden Straftat im Sinne des Urteils Ministerio Fiscal ist nicht in allen Fällen offensichtlich.
143. Wie dem auch sei, meines Erachtens sind die Erwägungen zum Zugang der Behörden zu den Daten zweitrangig, da die allgemeine und unterschiedslose Speicherung dieser Daten, wie bereits dargestellt, der Hauptgrund ist, aus dem die in diesem Vorabentscheidungsersuchen in Rede stehenden nationalen Rechtsvorschriften nicht mit dem Unionsrecht vereinbar sind.
4. Dritte Vorlagefrage
144. Die Cour constitutionnelle (Verfassungsgerichtshof) möchte wissen, ob die Wirkungen der nationalen Regelung vorläufig aufrechterhalten werden können, falls in Anbetracht der Antwort des Gerichtshofs festzustellen sein sollte, dass die nationalen Rechtsvorschriften nicht mit dem Unionsrecht vereinbar sind. Auf diese Weise würde die Rechtsunsicherheit vermieden werden und die erhobenen und gespeicherten Daten könnten weiterhin für die beabsichtigten Zwecke verwendet werden.
145. Nach ständiger Rechtsprechung kann „nur der Gerichtshof in Ausnahmefällen und aus zwingenden Erwägungen der Rechtssicherheit eine vorübergehende Aussetzung der Verdrängungswirkung herbeiführen …, die eine Rechtsvorschrift der Union gegenüber ihr entgegenstehendem nationalem Recht ausübt“. Wären nämlich „die nationalen Gerichte befugt, nationalen Bestimmungen Vorrang vor ihnen entgegenstehendem Unionsrecht einzuräumen, sei es auch nur vorübergehend, würde die einheitliche Anwendung des Unionsrechts beeinträchtigt“(98).
146. Nach Ansicht der Kommission sollte die Frage des vorlegenden Gerichts verneint werden, da der Gerichtshof die zeitlichen Auswirkungen der Auslegung von Art. 15 Abs. 1 der Richtlinie 2002/58 nicht begrenzt hat(99).
147. Gleichwohl hat der Gerichtshof im Urteil vom 28. Februar 2012, Inter-Environnement Wallonie und Terre wallonne(100), entschieden, dass ein innerstaatliches Gericht unter Berücksichtigung dessen, dass ein zwingendes Erfordernis im Zusammenhang mit dem Umweltschutz vorliegt, ausnahmsweise zur Anwendung einer nationalen Rechtsvorschrift berechtigt sein kann, die es ihm gestattet, bestimmte Wirkungen eines nationalen Rechtsakts aufrechtzuerhalten, den es wegen der Verletzung einer Unionsvorschrift für nichtig erklärt hat(101).
148. Diese Rechtsprechung hat der Gerichtshof im Urteil vom 29. Juli 2019, Inter-Environnement Wallonie und Bond Beter Leefmilieu Vlaanderen(102), bestätigt. Ich sehe keinen Grund, warum diese Rechtsprechung, die zum Umweltschutz oder zur Sicherstellung der Stromversorgung erging, nicht auch in anderen Bereichen des Unionsrechts, insbesondere in dem Bereich, mit dem wir es hier zu tun haben, herangezogen werden sollte.
149. Wenn „ein zwingendes Erfordernis im Zusammenhang mit dem Umweltschutz“ rechtfertigen kann, dass ein nationales Gericht ausnahmsweise bestimmte Wirkungen einer nicht mit dem Unionsrecht in Einklang stehenden nationalen Rechtsvorschrift aufrechterhält, ist das darauf zurückzuführen, dass der Umweltschutz „eines der wesentlichen Ziele der Union darstellt und sowohl Querschnittscharakter aufweist als auch grundlegende Bedeutung besitzt“(103).
150. Eine der Zielsetzungen der Union ist die Schaffung eines Raums der Sicherheit (Art. 3 EUV), was auch die Achtung der grundlegenden Funktionen des Staates, insbesondere der Aufrechterhaltung der öffentlichen Ordnung und des Schutzes der nationalen Sicherheit, umfasst (Art. 4 Abs. 2 EUV). Dabei handelt es sich um ein Ziel, das ebenso wie der Umweltschutz einen „Querschnittscharakter und [eine] grundlegende Bedeutung“ aufweist, da seine Verwirklichung für die Schaffung eines rechtlichen Rahmens, der die tatsächliche Wahrnehmung der Grundrechte und ‑freiheiten gewährleisten kann, eine notwendige Voraussetzung ist.
151. Meines Erachtens können zwingende Gründe im Zusammenhang mit dem Schutz der nationalen Sicherheit es im vorliegenden Fall rechtfertigen, dass der Gerichtshof ausnahmsweise zulässt, dass das vorlegende Gericht zumindest einige der Wirkungen des streitigen Gesetzes aufrechterhält.
152. Eine solche Aufrechterhaltung würde voraussetzen, dass das vorlegende Gericht im Licht des Urteils des Gerichtshofs die nationalen Rechtsvorschriften für mit dem Unionsrecht unvereinbar erklärt und die Auswirkungen einer sofortigen Nichtigerklärung (falls die Unvereinbarkeit nach dem nationalen Recht dazu führt) bzw. einer Nichtanwendung als besonders nachteilig für die öffentliche Sicherheit oder die Sicherheit des Staates ansieht.
153. Voraussetzung für eine (vollständige oder teilweise) vorläufige Aufrechterhaltung der Wirkungen der nationalen Regelung wäre außerdem, dass
– mit der Aufrechterhaltung eine Regelungslücke verhindert werden soll, deren Auswirkungen genauso schädlich wären wie eine Anwendung der streitigen Regelung und die nicht mit anderen Mitteln geschlossen werden kann und den nationalen Behörden ein wertvolles Instrument zur Gewährleistung der Sicherheit des Staates nimmt, und
– die Aufrechterhaltung nur für den Zeitraum erfolgt, der zwingend notwendig ist, um Maßnahmen zu erlassen, die die Beseitigung der festgestellten Unvereinbarkeit mit dem Unionsrecht ermöglichen(104).
154. Für diese Lösung sprechen ferner die Schwierigkeit, die nationalen Rechtsvorschriften an die mit dem Urteil Tele2 Sverige und Watson begründete Rechtsprechung anzupassen(105), und die Tatsache, dass sich der Wille des belgischen Gesetzgebers, dem Urteil Digital Rights nachzukommen, daran gezeigt hat, dass er seine eigenen Rechtsvorschriften geändert hat. Dies lässt vermuten, dass er auch das Gesetz vom 29. Mai 2016 (das vor Verkündung des Urteils Tele2 Sverige und Watson verabschiedet wurde) an die mit diesem Urteil begründete Rechtsprechung anpassen wird.
V. Ergebnis
155. Nach alledem schlage ich dem Gerichtshof vor, der Cour constitutionnelle (Verfassungsgerichtshof, Belgien) wie folgt zu antworten:
1. Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in Verbindung mit den Art. 7, 8, 11 und Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union ist dahin auszulegen, dass
– er einer nationalen Regelung entgegensteht, die den Betreibern und Anbietern elektronischer Kommunikationsdienste die Pflicht zur allgemeinen und unterschiedslosen Speicherung von Verkehrs- und Standortdaten aller Teilnehmer und Nutzer in Bezug auf alle elektronischen Kommunikationsmittel auferlegt.
– Dies ist auch dann der Fall, wenn diese nationale Regelung nicht nur das Ziel der Ermittlung, Feststellung und Verfolgung von schweren oder anderen Straftaten, sondern auch die Sicherstellung der nationalen Sicherheit, der Landesverteidigung, der öffentlichen Sicherheit oder die Verhütung eines untersagten Gebrauchs von elektronischen Kommunikationssystemen oder die Erreichung eines sonstigen Ziels verfolgt, das in Art. 23 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) aufgeführt ist.
– Ebenso ist dies auch dann der Fall, wenn der Zugang zu den gespeicherten Daten genau festgelegten Garantien unterliegt. Es ist Aufgabe des vorlegenden Gerichts, zu prüfen, ob die nationale Regelung über die Bedingungen für den Zugang der zuständigen Behörden diesen Zugang auf bestimmte Fälle beschränkt, deren Schwere einen Eingriff unbedingt erforderlich macht, ob sie den Zugang (außer in Eilfällen) von einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Behörde abhängig macht und ob sie vorsieht, dass die betroffenen Personen über diesen Zugang unterrichtet werden, sofern dies die Handlungen der Behörden nicht beeinträchtigt.
2. Die Art. 4 und 6 der Charta der Grundrechte der Europäischen Union haben keine Auswirkungen auf die Auslegung von Art. 15 Abs. 1 der Richtlinie 2002/58 in Verbindung mit den übrigen zuvor genannten Artikeln der Charta und stehen somit der Feststellung, dass eine nationale Regelung wie die des Ausgangsverfahrens mit dem Unionsrecht unvereinbar ist, nicht entgegen.
3. Ein nationales Gericht kann, sofern das nationale Recht dies zulässt, im Ausnahmefall und vorläufig die Wirkungen einer Regelung wie der des Ausgangsverfahrens aufrechterhalten, obwohl sie mit dem Unionsrecht unvereinbar ist, wenn dies durch zwingende Erwägungen im Zusammenhang mit Bedrohungen der öffentlichen Sicherheit oder der nationalen Sicherheit gerechtfertigt ist, auf die nicht mit anderen Mitteln und Alternativen reagiert werden kann. Diese Aufrechterhaltung darf nur für den Zeitraum erfolgen, der zwingend notwendig ist, um die festgestellte Unvereinbarkeit mit dem Unionsrecht zu beseitigen.