SCHLUSSANTRÄGE DES GENERALANWALTS
MACIEJ SZPUNAR
vom 28. September 2023(1)
Rechtssache C‑470/21
La Quadrature du Net,
Fédération des fournisseurs d’accès à Internet associatifs,
Franciliens.net,
French Data Network
gegen
Premier ministre,
Ministère de la Culture
(Vorabentscheidungsersuchen des Conseil d’État [Staatsrat, Frankreich])
„Vorlage zur Vorabentscheidung – Verarbeitung personenbezogener Daten und Schutz der Privatsphäre in der elektronischen Kommunikation – Richtlinie 2002/58/EG – Art. 15 Abs. 1 – Befugnis der Mitgliedstaaten, bestimmte Rechte und Pflichten zu beschränken – Erfordernis einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle, deren Entscheidung bindend ist – Identitätsdaten, die einer IP‑Adresse zugeordnet sind“
I. Einleitung
1. Auf Antrag der Großen Kammer nach Art. 60 Abs. 3 der Verfahrensordnung des Gerichtshofs hat dieser am 7. März 2023 beschlossen, die vorliegende Rechtssache an das Plenum zu verweisen.
2. Mit Beschluss vom 23. März 2023 hat der Gerichtshof (Plenum) beschlossen, das mündliche Verfahren wiederzueröffnen, und die in Art. 23 der Satzung des Gerichtshofs der Europäischen Union bezeichneten Beteiligten, den Europäischen Datenschutzbeauftragten (EDSB) und die Agentur der Europäischen Union für Cybersicherheit (ENISA) aufgefordert, an einer neuen mündlichen Verhandlung teilzunehmen.
3. Am 27. Oktober 2022 hatte ich vor Abschluss der mündlichen Phase des Verfahrens meine ersten Schlussanträge in dieser Rechtssache vorgelegt. Die vorliegenden neuen Schlussanträge bieten mir somit die Gelegenheit, einige Aspekte meiner Argumentation in dieser Rechtssache zu vertiefen, in der es um die Speicherung von personenbezogenen Daten und den Zugang zu ihnen geht.
II. Rechtlicher Rahmen
A. Unionsrecht
4. In den Erwägungsgründen 2, 6, 7, 11, 22, 26 und 30 der Richtlinie 2002/58/EG(2) heißt es:
„(2) Ziel dieser Richtlinie ist die Achtung der Grundrechte; sie steht insbesondere im Einklang mit den durch die Charta der Grundrechte der Europäischen Union [(im Folgenden: Charta)] anerkannten Grundsätzen. Insbesondere soll mit dieser Richtlinie gewährleistet werden, dass die in den Artikeln 7 und 8 jener Charta niedergelegten Rechte uneingeschränkt geachtet werden.
…
(6) Das Internet revolutioniert die herkömmlichen Marktstrukturen, indem es eine gemeinsame, weltweite Infrastruktur für die Bereitstellung eines breiten Spektrums elektronischer Kommunikationsdienste bietet. Öffentlich zugängliche elektronische Kommunikationsdienste über das Internet eröffnen neue Möglichkeiten für die Nutzer, bilden aber auch neue Risiken in Bezug auf ihre personenbezogenen Daten und ihre Privatsphäre.
(7) Für öffentliche Kommunikationsnetze sollten besondere rechtliche, ordnungspolitische und technische Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und der berechtigten Interessen juristischer Personen erlassen werden, insbesondere im Hinblick auf die zunehmenden Fähigkeiten zur automatischen Speicherung und Verarbeitung personenbezogener Daten über Teilnehmer und Nutzer.
…
(11) Wie die Richtlinie [95/46/EG(3)] gilt auch die vorliegende Richtlinie nicht für Fragen des Schutzes der Grundrechte und Grundfreiheiten in Bereichen, die nicht unter das Gemeinschaftsrecht fallen. Deshalb hat sie keine Auswirkungen auf das bestehende Gleichgewicht zwischen dem Recht des Einzelnen auf Privatsphäre und der Möglichkeit der Mitgliedstaaten, Maßnahmen nach Artikel 15 Absatz 1 dieser Richtlinie zu ergreifen, die für den Schutz der öffentlichen Sicherheit, für die Landesverteidigung, für die Sicherheit des Staates (einschließlich des wirtschaftlichen Wohls des Staates, soweit die Tätigkeiten die Sicherheit des Staates berühren) und für die Durchsetzung strafrechtlicher Bestimmungen erforderlich sind. Folglich betrifft diese Richtlinie nicht die Möglichkeit der Mitgliedstaaten zum rechtmäßigen Abfangen elektronischer Nachrichten oder zum Ergreifen anderer Maßnahmen, sofern dies erforderlich ist, um einen dieser Zwecke zu erreichen, und sofern dies im Einklang mit der [am 4. November 1950 in Rom unterzeichneten] Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten in ihrer Auslegung durch die Urteile des Europäischen Gerichtshofs für Menschenrechte erfolgt. Diese Maßnahmen müssen sowohl geeignet sein als auch in einem strikt angemessenen Verhältnis zum intendierten Zweck stehen und ferner innerhalb einer demokratischen Gesellschaft notwendig sein sowie angemessenen Garantien gemäß der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten entsprechen.
…
(22) Mit dem Verbot der Speicherung von Nachrichten und zugehörigen Verkehrsdaten durch andere Personen als die Nutzer oder ohne deren Einwilligung soll die automatische, einstweilige und vorübergehende Speicherung dieser Informationen insoweit nicht untersagt werden, als diese Speicherung einzig und allein zum Zwecke der Durchführung der Übertragung in dem elektronischen Kommunikationsnetz erfolgt und als die Information nicht länger gespeichert wird, als dies für die Übertragung und zum Zwecke der Verkehrsabwicklung erforderlich ist, und die Vertraulichkeit der Nachrichten gewahrt bleibt. …
…
(26) Teilnehmerdaten, die in elektronischen Kommunikationsnetzen zum Verbindungsaufbau und zur Nachrichtenübertragung verarbeitet werden, enthalten Informationen über das Privatleben natürlicher Personen und betreffen ihr Recht auf Achtung ihrer Kommunikationsfreiheit, oder sie betreffen berechtigte Interessen juristischer Personen. Diese Daten dürfen nur für einen begrenzten Zeitraum und nur insoweit gespeichert werden, wie dies für die Erbringung des Dienstes, für die Gebührenabrechnung und für Zusammenschaltungszahlungen erforderlich ist. Jede weitere Verarbeitung solcher Daten … darf nur unter der Bedingung gestattet werden, dass der Teilnehmer dieser Verarbeitung auf der Grundlage genauer, vollständiger Angaben des Betreibers des öffentlich zugänglichen elektronischen Kommunikationsdienstes über die Formen der von ihm beabsichtigten weiteren Verarbeitung und über das Recht des Teilnehmers, seine Einwilligung zu dieser Verarbeitung nicht zu erteilen oder zurückzuziehen, zugestimmt hat. …
…
(30) Die Systeme für die Bereitstellung elektronischer Kommunikationsnetze und ‑dienste sollten so konzipiert werden, dass so wenig personenbezogene Daten wie möglich benötigt werden. …“
5. In Art. 2 („Begriffsbestimmungen“) dieser Richtlinie heißt es:
„…
Weiterhin bezeichnet im Sinne dieser Richtlinie der Ausdruck
a) ‚Nutzer‘ eine natürliche Person, die einen öffentlich zugänglichen elektronischen Kommunikationsdienst für private oder geschäftliche Zwecke nutzt, ohne diesen Dienst notwendigerweise abonniert zu haben;
b) ‚Verkehrsdaten‘ Daten, die zum Zwecke der Weiterleitung einer Nachricht an ein elektronisches Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden;
c) ‚Standortdaten‘ Daten, die in einem elektronischen Kommunikationsnetz oder von einem elektronischen Kommunikationsdienst verarbeitet werden und die den geografischen Standort des Endgeräts eines Nutzers eines öffentlich zugänglichen elektronischen Kommunikationsdienstes angeben;
d) ‚Nachricht‘ jede Information, die zwischen einer endlichen Zahl von Beteiligten über einen öffentlich zugänglichen elektronischen Kommunikationsdienst ausgetauscht oder weitergeleitet wird. Dies schließt nicht Informationen ein, die als Teil eines Rundfunkdienstes über ein elektronisches Kommunikationsnetz an die Öffentlichkeit weitergeleitet werden, soweit die Informationen nicht mit dem identifizierbaren Teilnehmer oder Nutzer, der sie erhält, in Verbindung gebracht werden können;
…“
6. Art. 3 („Betroffene Dienste“) dieser Richtlinie bestimmt:
„Diese Richtlinie gilt für die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Gemeinschaft, einschließlich öffentlicher Kommunikationsnetze, die Datenerfassungs- und Identifizierungsgeräte unterstützen.“
7. Art. 5 („Vertraulichkeit der Kommunikation“) dieser Richtlinie bestimmt:
„(1) Die Mitgliedstaaten stellen die Vertraulichkeit der mit öffentlichen Kommunikationsnetzen und öffentlich zugänglichen Kommunikationsdiensten übertragenen Nachrichten und der damit verbundenen Verkehrsdaten durch innerstaatliche Vorschriften sicher. Insbesondere untersagen sie das Mithören, Abhören und Speichern sowie andere Arten des Abfangens oder Überwachens von Nachrichten und der damit verbundenen Verkehrsdaten durch andere Personen als die Nutzer, wenn keine Einwilligung der betroffenen Nutzer vorliegt, es sei denn, dass diese Personen gemäß Artikel 15 Absatz 1 gesetzlich dazu ermächtigt sind. Diese Bestimmung steht – unbeschadet des Grundsatzes der Vertraulichkeit – der für die Weiterleitung einer Nachricht erforderlichen technischen Speicherung nicht entgegen.
…
(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie [95/46] u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
8. In Art. 6 („Verkehrsdaten“) der Richtlinie 2002/58 heißt es:
„(1) Verkehrsdaten, die sich auf Teilnehmer und Nutzer beziehen und vom Betreiber eines öffentlichen Kommunikationsnetzes oder eines öffentlich zugänglichen Kommunikationsdienstes verarbeitet und gespeichert werden, sind unbeschadet der Absätze 2, 3 und 5 des vorliegenden Artikels und des Artikels 15 Absatz 1 zu löschen oder zu anonymisieren, sobald sie für die Übertragung einer Nachricht nicht mehr benötigt werden.
(2) Verkehrsdaten, die zum Zwecke der Gebührenabrechnung und der Bezahlung von Zusammenschaltungen erforderlich sind, dürfen verarbeitet werden. Diese Verarbeitung ist nur bis zum Ablauf der Frist zulässig, innerhalb deren die Rechnung rechtlich angefochten oder der Anspruch auf Zahlung geltend gemacht werden kann.
…“
9. Art. 15 („Anwendung einzelner Bestimmungen der Richtlinie [95/46]“) der Richtlinie 2002/58 bestimmt in seinem Abs. 1:
„Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Rechte und Pflichten gemäß Artikel 5, Artikel 6, Artikel 8 Absätze 1, 2, 3 und 4 sowie Artikel 9 dieser Richtlinie beschränken, sofern eine solche Beschränkung gemäß Artikel 13 Absatz 1 der Richtlinie [95/46] für die nationale Sicherheit, (d. h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig ist. Zu diesem Zweck können die Mitgliedstaaten unter anderem durch Rechtsvorschriften vorsehen, dass Daten aus den in diesem Absatz aufgeführten Gründen während einer begrenzten Zeit aufbewahrt werden. Alle in diesem Absatz genannten Maßnahmen müssen den allgemeinen Grundsätzen des [Unionsrechts] einschließlich den in Artikel 6 Absätze 1 und 2 [EUV] niedergelegten Grundsätzen entsprechen.“
B. Französisches Recht
1. Code de la propriété intellectuelle (Gesetzbuch über geistiges Eigentum)
10. Art. L. 331‑12 des Code de la propriété intellectuelle in seiner auf das Ausgangsverfahren anwendbaren Fassung (im Folgenden: CPI) bestimmt:
„Die Haute autorité pour la diffusion des œuvres et la protection des droits sur internet [(Hohe Behörde für die Verbreitung von Werken und den Schutz von Rechten im Internet) (im Folgenden: Hadopi)] ist eine unabhängige öffentliche Behörde.“
11. Art. L. 331‑13 CPI sieht vor:
„Die [Hadopi] gewährleistet:
…
2° Einen Schutz [von Werken und Gegenständen, an denen ein Urheberrecht oder ein verwandtes Schutzrecht in elektronischen Kommunikationsnetzen besteht,] vor Verletzungen dieser Rechte in den elektronischen Kommunikationsnetzwerken, die zur Bereitstellung von Online-Kommunikationsdiensten für die Öffentlichkeit benutzt werden; …“
12. In Art. L. 331‑15 CPI heißt es:
„Die [Hadopi] besteht aus einem Kollegium und einer Kommission für den Schutz von Rechten. …
…
Bei der Erfüllung ihrer Aufgaben erhalten die Mitglieder des Kollegiums und der Kommission für den Schutz von Rechten keine Anweisungen von anderen Behörden.“
13. Art. L. 331‑17 CPI bestimmt:
„Die Kommission zum Schutz von Rechten wird beauftragt, die in Artikel L. 331‑25 vorgesehenen Maßnahmen zu ergreifen.“
14. In Art. L. 331‑21 CPI heißt es:
„Die [Hadopi] verfügt zur Wahrnehmung der Aufgaben der Kommission für den Schutz von Rechten über vereidigte öffentliche Bedienstete, die [von ihrem] Präsidenten … nach Maßgabe eines Dekrets, das nach Anhörung des Conseil d’État [(Staatsrat)] erlassen wird, ermächtigt worden sind. …
Wird die genannte Kommission unter den in Art. L. 331‑24 vorgesehenen Bedingungen mit einem Vorgang befasst, wird dieser Vorgang den Mitgliedern der Kommission für den Schutz von Rechten und den in Abs. 1 genannten öffentlichen Bediensteten vorgelegt. Sie prüfen den Sachverhalt.
Sie können für die Erfordernisse des Verfahrens alle Dokumente unabhängig von dem Medium, auf dem sie gespeichert sind, erhalten, einschließlich der Daten, die von den Betreibern elektronischer Kommunikation gemäß Art. L. 34‑1 des Code des postes et des communications électroniques [(Gesetzbuch für Post und elektronische Kommunikation)] und von den Dienstleistern gespeichert und verarbeitet werden, die in den Nrn. 1 und 2 des Abschnitts I von Art. 6 der Loi n° 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique [(Gesetz Nr. 2004‑575 vom 21. Juni 2004 für das Vertrauen in die digitale Wirtschaft)] genannt werden.
Sie können auch Kopien der Dokumente, die im vorstehenden Absatz genannt werden, erhalten.
Sie können u. a. von den Betreibern elektronischer Kommunikation die Identität, die Postanschrift, die elektronische Adresse und die Telefondaten des Teilnehmers erhalten, dessen Online-Zugang zu öffentlichen Kommunikationsdiensten zu Zwecken der Vervielfältigung, der Darstellung, der öffentlichen Zugänglichmachung oder der öffentlichen Wiedergabe von geschützten Werken bzw. Leistungen ohne Zustimmung – sofern sie erforderlich ist – der Inhaber der … Rechte genutzt wurde.“
15. Art. L. 331‑24 CPI bestimmt:
„Die Kommission für den Schutz von Rechten wird auf Befassung durch … vereidigte und zugelassene Bedienstete tätig, die von folgenden Stellen ernannt werden:
– ordnungsgemäß errichteten Berufsorganisationen;
– Verwertungsgesellschaften;
– dem Centre national du cinéma et de l’image animée [(staatliche Filmförderungsbehörde)].
Die Kommission zum Schutz von Rechten kann auch auf der Grundlage von Informationen tätig werden, die ihr von der Staatsanwaltschaft übermittelt werden.
Sie kann nicht mit Sachverhalten befasst werden, die länger als sechs Monate zurückliegen.“
16. In Art. L. 331‑25 dieses Gesetzbuchs, der das Verfahren der sogenannten „abgestuften Reaktion“ regelt, heißt es:
„Wird die Kommission zum Schutz von Rechten mit Sachverhalten befasst, die einen Verstoß gegen die in Artikel L. 336‑3 [CPI] festgelegte Verpflichtung darstellen könnten, kann sie dem Teilnehmer … eine Empfehlung übermitteln, in der sie ihn auf die Bestimmungen von Artikel L. 336‑3 hinweist, ihn auffordert, die darin festgelegte Verpflichtung einzuhalten, und ihn auf die in den Artikeln L. 335‑7 und L. 335‑7‑1 angedrohten Sanktionen aufmerksam macht. Diese Empfehlung enthält auch Informationen, die den Teilnehmer auf das legale Angebot an kulturellen Online‑Inhalten, auf bestehende Sicherungsvorkehrungen, mit denen Verstöße gegen die in Artikel L. 336‑3 festgelegte Verpflichtung verhindert werden können, sowie auf die Gefahren für die Erneuerung des künstlerischen Schaffens und für die Wirtschaft des Kultursektors hinweisen, die von Praktiken ausgehen, die das Urheberrecht und die verwandten Schutzrechte nicht beachten.
Ergeben sich innerhalb von sechs Monaten nach Versand der in Absatz 1 genannten Empfehlung erneut Tatsachen, die einen Verstoß gegen die in Artikel L. 336‑3 festgelegte Verpflichtung darstellen könnten, kann die Kommission … eine neue Empfehlung versenden, die die gleichen Informationen wie die zuvor auf elektronischem Weg übermittelte enthält. Dieser Empfehlung ist ein gegen Unterschrift zugestelltes Schreiben oder ein anderes Mittel beizufügen, das geeignet ist, das Datum der Vorlage dieser Empfehlung nachzuweisen.
Die auf der Grundlage dieses Artikels ausgesprochenen Empfehlungen enthalten das Datum und die Uhrzeit, zu denen die Tatsachen, die einen Verstoß gegen die in Artikel L. 336‑3 festgelegte Verpflichtung darstellen können, festgestellt wurden. Der Inhalt der von dieser Verletzung betroffenen Werke oder Schutzgegenstände wird jedoch nicht bekannt gegeben. Sie geben die telefonischen, postalischen und elektronischen Kontaktdaten an, unter denen der Empfänger, wenn er dies wünscht, der Kommission für den Schutz der Rechte eine Stellungnahme übermitteln und, wenn er dies ausdrücklich beantragt, nähere Angaben zum Inhalt der geschützten Werke oder Schutzgegenstände erhalten kann, die von der ihm vorgeworfenen Pflichtverletzung betroffen sind.“
17. Art. L. 331‑29 CPI bestimmt:
„Die [Hadopi] wird ermächtigt, ein System zur automatisierten Verarbeitung personenbezogener Daten hinsichtlich der Personen, gegen die ein Verfahren im Rahmen dieses Unterabschnitts geführt wird, einzurichten.
Diese Verarbeitung dient der durch die Kommission für den Schutz von Rechten erfolgenden Durchführung der im vorliegenden Unterabschnitt vorgesehenen Maßnahmen, aller damit zusammenhängenden Verfahrenshandlungen sowie der Modalitäten zur Unterrichtung der Berufsorganisationen und der Verwertungsgesellschaften über etwaige Anrufungen der Justizbehörde sowie über Zustellungen gemäß Artikel L. 335‑7 Abs. 5.
Ein Dekret … legt die Modalitäten zur Anwendung des vorliegenden Artikels fest. Es bestimmt insbesondere
– die Kategorien der gespeicherten Daten und ihre Aufbewahrungsfrist;
– die Empfänger, die zur Entgegennahme dieser Daten berechtigt sind, insbesondere die Personen, deren Tätigkeit darin besteht, einen Zugang zu öffentlichen Online-Kommunikationsdiensten anzubieten;
– die Bedingungen, unter denen die betroffenen Personen bei der [Hadopi] ihr Recht auf Zugang zu den sie betreffenden Daten … ausüben können.“
18. Art. R. 331‑37 CPI sieht vor:
„Die … Betreiber elektronischer Kommunikation und die … Dienstleister sind verpflichtet, durch eine Zusammenschaltung mit dem in Art. L. 331‑29 genannten System für die automatisierte Verarbeitung personenbezogener Daten oder unter Verwendung eines Speichermediums, das Integrität und Sicherheit gewährleistet, die personenbezogenen Daten und die in Nr. 2 des Anhangs des Dekrets Nr. 2010‑236 vom 5. März 2010 [über die automatisierte Verarbeitung personenbezogener Daten unter der Bezeichnung ‚System zur Verwaltung von Maßnahmen zum Schutz von Werken im Internet‘, die nach Artikel L. 331‑29 (CPI) gestattet ist(4) (im Folgenden: Dekret vom 5. März 2010)] genannten Informationen innerhalb von acht Tagen mitzuteilen, nachdem die Kommission für den Schutz von Rechten die technischen Daten übermittelt hat, die zur Identifizierung des Teilnehmers erforderlich sind, dessen Online-Zugang zu öffentlichen Kommunikationsdaten zu Zwecken der Vervielfältigung, der Darstellung, der öffentlichen Zugänglichmachung oder der öffentlichen Wiedergabe von geschützten Werken bzw. Leistungen ohne Zustimmung – sofern sie erforderlich ist – der Inhaber der … Rechte genutzt wurde.
…“
19. Art. R. 335‑5 CPI bestimmt:
„I.– Sofern die in Abschnitt II genannten Bedingungen erfüllt sind, stellt es eine qualifizierte Fahrlässigkeit des Inhabers eines Zugangs zu öffentlichen Online-Kommunikationsdiensten dar, die mit der für Übertretungen der fünften Kategorie vorgesehenen Geldstrafe geahndet wird, wenn dieser ohne rechtmäßigen Grund:
1° entweder keine Maßnahme zur Sicherung dieses Zugangs getroffen hat
2° oder bei der Durchführung dieser Maßnahme keine Sorgfalt hat walten lassen.
II.– Die Bestimmungen des Abschnitts I sind nur anwendbar, wenn die beiden folgenden Bedingungen erfüllt sind:
1° Die Kommission zum Schutz von Rechten hat dem Inhaber des Zugangs nach Art. L. 331‑25 in der in diesem Artikel vorgesehenen Form empfohlen, eine Maßnahme zur Sicherung seines Zugangs zu treffen, mit der verhindert werden kann, dass der Zugang erneut zum Zweck der Vervielfältigung, der Darbietung, der öffentlichen Zugänglichmachung oder der öffentlichen Wiedergabe von Werken oder Gegenständen, die durch ein Urheberrecht oder ein verwandtes Schutzrecht geschützt sind, ohne die Zustimmung der Inhaber der … Rechte, sofern diese erforderlich ist, genutzt wird;
2° Innerhalb eines Jahres nach Vorlage dieser Empfehlung wird dieser Zugang erneut für die in Abschnitt II Nr. 1 genannten Zwecke genutzt.“
20. Art. L. 336‑3 dieses Gesetzbuchs bestimmt:
„Der Inhaber des Zugangs zu öffentlichen Online-Kommunikationsdiensten ist verpflichtet, zu verhindern, dass dieser Zugang zu Zwecken der Vervielfältigung, der Darstellung, der öffentlichen Zugänglichmachung oder der öffentlichen Wiedergabe von durch ein Urheberrecht oder ein verwandtes Schutzrecht geschützten Werken oder Gegenständen genutzt wird, ohne dass die Inhaber dieser Rechte dem – soweit erforderlich – zugestimmt haben.
Der Verstoß des Inhabers des Zugangs gegen die in Absatz 1 definierte Verpflichtung hat … nicht zur Folge, dass er strafrechtlich zur Verantwortung gezogen wird.“
2. Dekret vom 5. März 2010
21. Art. 1 des Dekrets vom 5. März 2010 in seiner auf den Sachverhalt des Ausgangsverfahrens anwendbaren Fassung sieht vor:
„Die Verarbeitung personenbezogener Daten unter der Bezeichnung ‚System zur Verwaltung von Maßnahmen zum Schutz von Werken im Internet‘ dient der Umsetzung folgender Maßnahmen durch die Kommission für den Schutz von Rechten der [Hadopi]:
1° der im III. Buch des legislativen Teils des [CPI] (Titel III Kapitel I Abschnitt 3 Unterabschnitt 3) und im III. Buch des Verordnungsteils dieses Gesetzbuchs (Titel III Kapitel I Abschnitt 2 Unterabschnitt 2) vorgesehenen Maßnahmen;
2° der Befassung der Staatsanwaltschaft mit Sachverhalten, die Straftaten nach Artikel L. 335‑2, L. 335‑3, L. 335‑4 und R. 335‑5 desselben Gesetzbuchs darstellen könnten, sowie die Unterrichtung der Berufsorganisationen und der Verwertungsgesellschaften über diese Befassung;
…“
22. Art. 4 dieses Dekrets bestimmt:
„I.– Direkten Zugang zu den im Anhang zu diesem Dekret aufgeführten personenbezogenen Daten und Informationen haben die vereidigten öffentlichen Bediensteten, die vom Präsidenten der [Hadopi] gemäß Art. L. 331‑21 [CPI] ermächtigt wurden, sowie die Mitglieder der in Artikel 1 genannten Kommission zum Schutz von Rechten.
II.– Die Betreiber elektronischer Kommunikation und die in Nr. 2 des Anhangs zu diesem Dekret genannten Anbieter sind Adressaten
– der technischen Daten, die zur Identifizierung des Teilnehmers erforderlich sind;
– der in Artikel L. 331‑25 [CPI] vorgesehenen Empfehlungen im Hinblick auf deren elektronischen Versand an ihre Teilnehmer;
– der für die Umsetzung der Zusatzstrafen der Sperrung des Zugangs zu einem öffentlichen Online-Kommunikationsdienst erforderlichen Angaben, die der Kommission zum Schutz der Rechte durch die Staatsanwaltschaft zur Kenntnis gebracht werden.
III.– Die Berufsorganisationen und die Verwertungsgesellschaften sind Adressaten einer Information über die Befassung der Staatsanwaltschaft.
IV.– Die Justizbehörden sind Adressaten der Protokolle über die Feststellung von Tatsachen, die Verstöße nach Artikel L. 335‑2, L. 335‑3, L. 335‑4, L. 335‑7, R. 331‑37, R. 331‑38 und R. 335‑5 [CPI] darstellen können.
Das automatisierte Strafregister wird über die Vollstreckung der Strafe der Sperrung informiert.“
23. Der Anhang des Dekrets vom 5. März 2010 sieht vor:
„Bei der als ‚System zur Verwaltung von Maßnahmen zum Schutz von Werken im Internet‘ bezeichneten Verarbeitung werden folgende personenbezogene Daten und Informationen gespeichert:
1° Persönliche Daten und Informationen von ordnungsgemäß errichteten Berufsorganisationen, Verwertungsgesellschaften, dem Centre national du cinéma et de l’image animée sowie von der Staatsanwaltschaft:
Bezüglich der Tatsachen, die eine Verletzung der in Artikel L. 336‑3 [CPI] definierten Verpflichtung darstellen können:
Datum und Uhrzeit der Tat;
IP‑Adresse des betreffenden Teilnehmers;
verwendetes Peer-to-Peer-Protokoll;
vom Teilnehmer verwendetes Pseudonym;
Angaben zu den von den Taten betroffenen geschützten Werken oder Schutzgegenständen;
(gegebenenfalls) Name der Datei, wie sie auf dem Rechner des Teilnehmers vorhanden ist;
Internetzugangsanbieter, bei dem der Zugang abonniert wurde oder der die technische Ressource IP zur Verfügung gestellt hat.
…
2° Personenbezogene Daten und Informationen über den Teilnehmer, die von den Betreibern elektronischer Kommunikationsdienste … und den Anbietern … erhoben werden:
Nachname, Vornamen;
Postanschrift und E‑Mail-Adressen;
telefonische Kontaktdaten;
Adresse der Telefonanlage des Teilnehmers;
Internetzugangsanbieter, der die technischen Ressourcen des in Nr. 1 genannten Zugangsanbieters nutzt und bei dem der Teilnehmer seinen Vertrag abgeschlossen hat; Aktenzeichen;
Datum des Beginns der Sperrung des Zugangs zu einem öffentlichen Online-Kommunikationsdienst.
…“
3. Gesetzbuch für Post und elektronische Kommunikation
24. Art. L. 34‑1 des Code des postes et des communications électroniques (Gesetzbuch für Post und elektronische Kommunikation) in der durch Art. 17 des Gesetzes Nr. 2021‑998 vom 30. Juli 2021 geänderten Fassung(5) (im Folgenden: CPCE) sieht in seinem Abs. IIbis vor:
„[D]ie Anbieter von Diensten der elektronischen Kommunikation sind verpflichtet, auf Vorrat zu speichern:
1. für die Zwecke der Strafverfolgung, der Abwehr von Gefahren für die öffentliche Sicherheit und des Schutzes der nationalen Sicherheit die Informationen über die Identität des Nutzers bis zum Ablauf von fünf Jahren ab dem Ende der Gültigkeit des Vertrags;
2. für die in Nr. 1 dieses Absatzes IIbis genannten Zwecke die übrigen Angaben, die der Nutzer beim Abschluss eines Vertrags oder der Einrichtung eines Kontos macht, und die Informationen über die Zahlung bis zum Ablauf von einem Jahr ab dem Ende der Laufzeit des Vertrags bzw. dem Zeitpunkt, zu dem das Konto geschlossen wird;
3. für die Zwecke der Bekämpfung schwerer Kriminalität, der Abwehr schwerer Gefahren für die öffentliche Sicherheit und des Schutzes der nationalen Sicherheit die technischen Daten, anhand derer sich die Quelle der Verbindung feststellen lässt, oder die technischen Daten betreffend die verwendeten Endgeräte bis zum Ablauf von einem Jahr ab der Verbindung oder der Verwendung der Endgeräte.“
III. Verfahren vor dem Gerichtshof
25. Auf die Aufforderung an die in Art. 23 der Satzung des Gerichtshofs der Europäischen Union bezeichneten Beteiligten haben die Kläger des Ausgangsverfahrens, die französische, die dänische, die estnische, die irische, die niederländische, die finnische und die schwedische Regierung sowie die Europäische Kommission die vom Gerichtshof gestellten schriftlichen Fragen beantwortet.
26. Dieselben Parteien, mit Ausnahme der finnischen Regierung, die tschechische, die spanische, die zyprische, die lettische und die norwegische Regierung sowie der EDSB und die ENISA haben an der mündlichen Verhandlung vom 15. Mai 2023 teilgenommen.
IV. Würdigung
27. In meinen ersten Schlussanträgen hatte mich die Analyse der Vorlagefragen dazu veranlasst, dem Gerichtshof vorzuschlagen, zu entscheiden, dass Art. 15 Abs. 1 der Richtlinie 2002/58 dahin auszulegen ist, dass er einer nationalen Regelung nicht entgegensteht, die den Anbietern elektronischer Kommunikationsdienste eine auf Identitätsdaten, die IP‑Adressen zugeordnet sind, beschränkte Vorratsspeicherung erlaubt und einer Verwaltungsbehörde wie der Hadopi(6) den Zugang zu diesen Daten gestattet, damit diese Behörde die Inhaber dieser Adressen, die im Verdacht stehen, für Verletzungen des Urheberrechts und verwandter Schutzrechte verantwortlich zu sein, ermitteln und gegebenenfalls Maßnahmen gegen sie ergreifen kann, ohne dass dieser Zugang einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterliegt, wenn diese Daten den einzigen Anhaltspunkt darstellen, der es ermöglicht, die Identität der Person zu ermitteln, der diese Adresse zugewiesen war, als die Tat begangen wurde.
28. In den vorliegenden Schlussanträgen werde ich mich bemühen, einige Aspekte meiner früheren Analyse und die in der mündlichen Verhandlung vom 15. Mai 2023 erörterten Gesichtspunkte zu vertiefen, um die Gründe darzulegen, aus denen ich sowohl an meinem Vorschlag zur Beantwortung der Vorlagefragen als auch an der Argumentation, die zu diesem Vorschlag geführt hat, festhalte(7).
29. Im Einzelnen werde ich darlegen, dass die Erlaubnis, zur Identifizierung der Urheber von Rechtsverletzungen Identitätsdaten, die einer IP‑Adresse zugeordnet sind, ohne vorherige Kontrolle zu speichern und auf sie zuzugreifen, die vom Gerichtshof bei der Prüfung von Maßnahmen nach Art. 15 Abs. 1 der Richtlinie 2002/58 aufgestellten Anforderungen erfüllt, wenn diese Daten die einzige Möglichkeit darstellen, diese Urheber von Rechtsverletzungen zu identifizieren (Abschnitt B).
30. Dabei werde ich aufzeigen, dass eine solche Lösung keine Abkehr von der strengen und die Grundrechte schützenden Rechtsprechung des Gerichtshofs seit den Urteilen Tele2 Sverige und Watson u. a.(8) und La Quadrature du Net u. a.(9) darstellt, sondern eine notwendige Weiterentwicklung der Rechtsprechung ist, die meines Erachtens die vom Gerichtshof aufgestellten Grundsätze fortschreibt. Diese Unterscheidung ist nicht nur semantisch. Die von mir vorgeschlagene Lösung zielt nämlich nicht darauf ab, die bestehende Rechtsprechung in Frage zu stellen, sondern darauf, im Interesse eines gewissen Pragmatismus ihre Anpassung an besondere, sehr eng umschriebene Umstände zu ermöglichen (Abschnitt C).
31. Im Interesse der Klarheit – und da die Erörterungen in der mündlichen Verhandlung gezeigt haben, dass in dieser Hinsicht Klärungsbedarf besteht – werde ich meine Analyse mit einem Überblick über die Funktionsweise des von der Hadopi angewandten Mechanismus der abgestuften Reaktion beginnen (Abschnitt A).
A. Der von der Hadopi angewandte Mechanismus der abgestuften Reaktion
32. Die Hadopi ist eine unabhängige Verwaltungsbehörde, deren Aufgabe es ist, das Urheberrecht und verwandte Schutzrechte vor Verletzungen zu schützen, die über das Internet begangen werden. Zu diesem Zweck wurde der Mechanismus der sogenannten „abgestuften Reaktion“ eingeführt, mit deren Umsetzung die Kommission für den Schutz von Rechten der Hadopi betraut ist.
33. Diese Kommission wird von Einrichtungen von Rechteinhabern angerufen, in denen bestimmte vereidigte und vom Minister für Kultur zugelassene Bedienstete in Peer-to-Peer-Netzen die IP‑Adressen von Internetnutzern sammeln, die Werke ohne Zustimmung der Rechteinhaber öffentlich zugänglich machen. Dabei werden Protokolle erstellt. Diese enthalten u. a. die IP‑Adresse des Internetzugangs, über den die Urheberrechtsverletzungen begangen wurden, das Datum und die Uhrzeit der festgestellten Verletzung sowie den Titel des betreffenden Werks und werden an die Kommission für den Schutz von Rechten der Hadopi weitergeleitet. Hierzu ist darauf hinzuweisen, dass die Verarbeitung personenbezogener Daten durch Bedienstete in den Einrichtungen der Rechteinhaber von der Commission Nationale de l’Informatique et des Libertés (CNIL), der französischen Nationalen Kommission für Informatik und Freiheiten, genehmigt wurde(10), wie der EDSB ausgeführt hat.
34. Nach Eingang der Protokolle und nach einer automatisierten Kontrolle, die sicherstellen soll, dass diese Protokolle alle erforderlichen Daten enthalten, kann die Kommission für den Schutz von Rechten der Hadopi von den Betreibern elektronischer Kommunikation die Identität, die Postanschrift, die elektronische Adresse und die Telefondaten des Teilnehmers erhalten, dessen Online-Zugang zur Begehung einer Urheberrechtsverletzung genutzt wurde.
35. Die Hadopi kann diesem Teilnehmer sodann eine „Empfehlung“ übermitteln, in der sie ihn darüber informiert, dass sein Internetzugang Gegenstand einer urheberrechtswidrigen Nutzung war, und mit der die Person, die verdächtigt wird, ihre Sorgfaltspflicht in Bezug auf die Achtung von durch das Urheberrecht oder ein verwandtes Schutzrecht geschützten Werken im Internet verletzt zu haben, aufgefordert wird, dieser Sorgfaltspflicht nachzukommen. Mit anderen Worten: Die Empfehlung wird an den Inhaber des Internetzugangs gerichtet, der in Wirklichkeit eine andere Person sein kann als diejenige, die das Werk unter Verletzung des Urheberrechts zugänglich gemacht hat. Wird eine zweite, über denselben Internetzugang begangene Rechtsverletzung festgestellt, kann eine zweite Empfehlung ausgesprochen werden. Im Fall weiterer Wiederholungen kann die Kommission für den Schutz von Rechten der Hadopi beschließen, zum Zweck der Strafverfolgung den Procureur de la République (Staatsanwaltschaft) einzuschalten. Wie die französische Regierung in ihrer ersten Erklärung angegeben hat, sind die für den Mechanismus der abgestuften Reaktion zuständigen Mitarbeiter der Hadopi vereidigte und vom Präsidenten der Hadopi bevollmächtigte Bedienstete, die dem Berufsgeheimnis unterliegen und innerhalb der Hadopi die einzigen sind, die Zugang zu den im Rahmen dieses Mechanismus verarbeiteten personenbezogenen Daten haben.
36. Insoweit muss ich klarstellen, dass nicht die Daten aller Nutzer von Peer-to-Peer-Netzen erhoben und an die Hadopi weitergeleitet werden, sofern diese Nutzer sich darauf beschränken, solche Inhalte herunterzuladen(11), sondern nur die Daten von Personen, die rechtsverletzende Inhalte zugänglich gemacht, d. h. hochgeladen, haben.
37. So erhielt die Hadopi beispielsweise im Jahr 2021 von den Organisationen der Rechteinhaber fast vier Millionen Protokolle, verschickte 210 595 erste Empfehlungen und 53 564 zweite Empfehlungen und schaltete in 1 484 Fällen die Staatsanwaltschaft ein.
38. Nach diesen Hinweisen werde ich darlegen, inwiefern ein solcher Mechanismus, der die Speicherung von Identitätsdaten, die einer IP‑Adresse zugeordnet sind, und den Zugriff auf sie voraussetzt, meiner Meinung nach die Anforderungen der Rechtsprechung zu nationalen Maßnahmen nach Art. 15 Abs. 1 der Richtlinie 2002/58 erfüllt.
B. Die Einhaltung der Anforderungen, die sich aus der Rechtsprechung des Gerichtshofs zur Auslegung von Art. 15 Abs. 1 der Richtlinie 2002/58 ergeben
39. Nachdem ich in meinen ersten Schlussanträgen bereits einen Überblick über die Rechtsprechung des Gerichtshofs zur Speicherung und zum Zugang zu IP‑Adressen, die der Quelle einer Verbindung zugeordnet sind, gegeben habe(12), werde ich mich in den vorliegenden Schlussanträgen auf das konzentrieren, was meines Erachtens den Kern dieser Rechtsprechung ausmacht, nämlich zum einen auf das Erfordernis der Verhältnismäßigkeit und zum anderen, was den Zugang zu diesen Daten betrifft, auf die mögliche Notwendigkeit einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsbehörde.
1. Zur Verhältnismäßigkeit der in Rede stehenden Maßnahme
40. Um die Vereinbarkeit einer Maßnahme zur Speicherung von oder zum Zugang zu Identitätsdaten, die einer IP-Adresse zugeordnet sind, mit dem Unionsrecht zu bestimmen, ist es erforderlich, wie der Gerichtshof wiederholt ausgeführt hat, die verschiedenen betroffenen berechtigten Interessen und Rechte miteinander in Einklang zu bringen, bei denen es sich zum einen um das Recht auf Schutz des Privatlebens und das Recht auf Schutz personenbezogener Daten(13), die in den Art. 7 und 8 der Charta garantiert werden, und zum anderen um den Schutz der Rechte und Freiheiten anderer und der in den Art. 3, 4, 6 und 7 der Charta verankerten Rechte handelt(14). Ich möchte hinzufügen, dass im vorliegenden Fall die Rechte auf Schutz der Privatsphäre und auf Schutz personenbezogener Daten auch mit dem in Art. 17 der Charta verankerten Eigentumsrecht in Einklang gebracht werden müssen, weil der Mechanismus der abgestuften Reaktion letztlich auf den Schutz des Urheberrechts und verwandter Schutzrechte abzielt.
41. Der Gerichtshof stellt in diesem Zusammenhang klar, dass diese Abwägung, die nach Art. 15 Abs. 1 der Richtlinie 2002/58 stattfindet, es den Mitgliedstaaten erlaubt, eine Maßnahme zu ergreifen, die vom Grundsatz der Vertraulichkeit abweicht, sofern eine solche Maßnahme „in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig“ (Hervorhebung nur hier) ist. Im elften Erwägungsgrund dieser Richtlinie wird klargestellt, dass eine derartige Maßnahme in einem „strikt“ angemessenen Verhältnis zum intendierten Zweck stehen muss(15).
42. Außerdem bezieht sich der Gerichtshof in seiner gesamten Argumentation zur Auslegung von Art. 15 Abs. 1 der Richtlinie 2002/58 auf den Grundsatz der Verhältnismäßigkeit und macht ihn somit zum Eckpfeiler der Prüfung einer gemäß dieser Bestimmung ergriffenen nationalen Maßnahme zur Speicherung von oder zum Zugang zu personenbezogenen Daten.
43. Eine eingehendere Lektüre dieser Argumentation zeigt, dass der Grundsatz der Verhältnismäßigkeit im Zusammenhang mit Art. 15 Abs. 1 der Richtlinie 2002/58 verschiedene Aspekte umfasst, die sich zum einen auf die Schwere des Eingriffs in die Grundrechte beziehen, den die Speicherung von Verkehrsdaten oder der Zugang zu ihnen mit sich bringt, und zum anderen auf die Notwendigkeit der in Rede stehenden Maßnahme.
44. Hinsichtlich der Speicherung von Identitätsdaten, die einer IP-Adresse zugeordnet sind, und des Zugangs der Hadopi zu ihnen bin ich der Auffassung, dass sowohl die Schwere des Eingriffs als auch die Unentbehrlichkeit dieser Daten den Gerichtshof dazu veranlassen sollten, seine Prüfung der Verhältnismäßigkeit einer nationalen Maßnahme nach Art. 15 Abs. 1 der Richtlinie 2002/58 abzumildern.
a) Die relative Schwere des Eingriffs in die Grundrechte
45. Aus der ständigen Rechtsprechung des Gerichtshofs ergibt sich eindeutig, dass gemäß dem Grundsatz der Verhältnismäßigkeit die Bedeutung des Ziels, das mit einer Maßnahme nach Art. 15 Abs. 1 der Richtlinie 2002/58 verfolgt wird, im Verhältnis zur Schwere des daraus resultierenden Eingriffs stehen muss(16).
46. So hat der Gerichtshof, wie ich in meinen ersten Schlussanträgen ausgeführt habe, insbesondere entschieden, dass ein schwerer Eingriff im Bereich der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten nur durch einen Zweck der Bekämpfung einer ebenfalls als „schwer“ einzustufenden Kriminalität gerechtfertigt sein kann(17).
47. In Bezug auf IP‑Adressen stellt der Gerichtshof fest, dass sie zwar weniger sensibel sind als andere Verkehrsdaten, ihre Speicherung und Analyse aber dennoch schwerwiegende Eingriffe in die Grundrechte darstellen, weil sie dazu verwendet werden können, die Online-Aktivität eines Internetnutzers umfassend nachzuverfolgen und somit ein detailliertes Profil dieses Nutzers zu erstellen und genaue Schlüsse auf sein Privatleben zu ziehen(18).
48. Im Ausgangsverfahren zielen die Speicherung von Identitätsdaten, die einer IP-Adresse zugeordnet sind, und der Zugang zu ihnen darauf ab, Verletzungen des Urheberrechts und verwandter Schutzrechte zu bekämpfen. Meines Erachtens liegt jedoch auf der Hand, dass dieses Ziel selbst dann nicht unter die Bekämpfung schwerer Kriminalität fallen kann(19), wenn das Ausmaß dieser Verletzungen sehr groß ist. Somit bestünde ein Missverhältnis zwischen der Schwere des Eingriffs in die Grundrechte, den die in Rede stehende Maßnahme mit sich bringt, und dem mit ihr verfolgten Ziel.
49. In meinen ersten Schlussanträgen habe ich im Einklang mit der Rechtsprechung des Gerichtshofs die Auffassung vertreten, dass der Zugriff der Hadopi auf Identitätsdaten, die einer IP‑Adresse zugeordnet sind, sehr wohl einen schwerwiegenden Eingriff in die Grundrechte darstellt. Soweit ich zugleich die Ansicht vertreten habe, dass die Speicherung dieser Daten und der Zugriff auf sie im vorliegenden Fall dennoch erlaubt sein sollten, muss ich nach der mündlichen Verhandlung noch einige weitere Präzisierungen vornehmen.
50. Der Mechanismus der abgestuften Reaktion ermöglicht es der Hadopi, die ihr von den Einrichtungen der Rechteinhaber mitgeteilten IP‑Adressen von Personen, die verdächtigt werden, ihren Internetzugang für eine Urheberrechtsverletzung in einem Peer-to-Peer-Netz genutzt zu haben, mit den Identitätsdaten dieser Personen sowie mit einem Auszug aus der urheberrechtswidrig hochgeladenen Datei in Verbindung zu bringen. Wie die Kommission und der EDSB in der mündlichen Verhandlung vorgetragen haben, lassen sich aus solchen Angaben zwar zweifellos mehr Informationen als nur die Identität des mutmaßlichen Urhebers der Rechtsverletzung gewinnen, doch ermöglichen sie keine sehr genauen Schlüsse auf das Privatleben dieser Person. Wie ich bereits in meinen ersten Schlussanträgen ausgeführt hatte(20), handelt es sich hierbei nämlich lediglich um die Offenlegung eines zu einem bestimmten Zeitpunkt abgerufenen Inhalts, der für sich genommen nicht geeignet ist, ein detailliertes Profil der Person zu erstellen, die diesen Inhalt abgerufen hat.
51. Dies gilt umso mehr, als es sich erstens bei der großen Mehrheit der an die Hadopi übermittelten IP‑Adressen um sogenannte „dynamische“ IP‑Adressen handelt, die sich naturgemäß ändern und nur während eines eng begrenzten Zeitraums, der den Zeitpunkt der Zugänglichmachung des in Rede stehenden Inhalts umfasst, einer bestimmten Identität entsprechen. Sie schließen daher jede umfassende Nachverfolgung aus.
52. Zweitens muss ich darauf hinweisen, dass der Schutz der Grundrechte im Internet es meines Erachtens nicht rechtfertigen kann, den Zugang zu Daten zu verwehren, die sich auf die IP‑Adresse, den Inhalt eines Werks und die Identität der Person beziehen, die dieses Werk unter Verletzung des Urheberrechts zugänglich gemacht hat, sondern nur, dass die Speicherung dieser Daten und der Zugriff auf sie von Garantien begleitet sein müssen. Eine Analogie zur realen Welt mag dies verdeutlichen: Wer im Verdacht steht, einen Diebstahl begangen zu haben, kann sich nicht auf das Recht auf Schutz seiner Privatsphäre berufen, um zu verhindern, dass die für die Verfolgung dieser Straftat zuständigen Personen Kenntnis davon erlangen, was er im Einzelnen entwendet hat. Dagegen kann er sich berechtigterweise auf seine Grundrechte berufen, um zu verhindern, dass im Lauf des Verfahrens auf einen Datensatz zugegriffen wird, dessen Umfang über die Daten hinausgeht, die für die Einstufung der ihm zur Last gelegten Straftat erforderlich sind.
53. Schließlich stelle ich fest, dass der Mechanismus der abgestuften Reaktion entgegen den Behauptungen der Kläger offenbar nicht mit einer allgemeinen Überwachung der Nutzer von Peer-to-Peer-Netzen einhergeht. Es handelt sich nämlich nicht um eine Überprüfung sämtlicher Aktivitäten dieser Nutzer in einem bestimmten Netz, um festzustellen, ob sie ein Werk unter Verletzung des Urheberrechts zugänglich gemacht haben, sondern vielmehr darum, ausgehend von einer als Urheberrechtsverletzung identifizierten Datei den Inhaber des Internetzugangs zu ermitteln, von dem aus der Internetnutzer diese Datei zugänglich gemacht hat. Wie der EDSB in der mündlichen Verhandlung ausgeführt hat, geht es auch nicht darum, die Aktivitäten aller Nutzer von Peer-to-Peer-Netzen zu überwachen, sondern nur die Aktivitäten von Personen, die das Urheberrecht verletzende Dateien hochladen, wobei das Hochladen dieser Dateien umso weniger Aufschluss über das Privatleben dieser Personen gibt, als es möglicherweise nur erfolgt, um diesen Internetnutzern das anschließende Herunterladen anderer Dateien zu ermöglichen.
54. Unter diesen Umständen halte ich die Gründe, die den Gerichtshof veranlasst haben, die Speicherung von IP‑Adressen und den Zugang zu ihnen als schwerwiegenden Eingriff in die Grundrechte zu betrachten, für nicht anwendbar, wenn es um einen Mechanismus der abgestuften Reaktion geht, wie ihn die Hadopi anwendet. Daraus folgt, dass die mit dieser Speicherung und diesem Zugang verbundene Schwere des Eingriffs bei der Prüfung des Grundsatzes der Verhältnismäßigkeit nuanciert werden sollte.
55. Ich bin mit anderen Worten der Ansicht, dass die Rechtsprechung des Gerichtshofs zur Schwere des durch die Speicherung von IP‑Adressen und den Zugang zu ihnen verursachten Eingriffs in die Grundrechte nicht dahin ausgelegt werden sollte, dass ein solcher Eingriff immer ein schwerwiegender Eingriff ist, sondern dahin, dass er nur dann schwerwiegend ist, wenn die IP‑Adressen zu einer umfassenden Nachverfolgung der Online-Aktivität des Internetnutzers führen und sehr genaue Schlüsse auf sein Privatleben zulassen können.
56. Da dies in einer Situation wie der des Ausgangsverfahrens nicht der Fall ist, folgt daraus, dass der Eingriff, der mit der Speicherung von und dem Zugang zu den Identitätsdaten einhergeht, die einer IP‑Adresse zugeordnet sind, die verwendet wurde, um einen das Urheberrecht verletzenden Inhalt zugänglich zu machen, durch ein Ziel der Bekämpfung von Kriminalität zu rechtfertigen sein sollte, das weiter gefasst ist als die Bekämpfung allein schwerer Kriminalität.
57. Darüber hinaus weise ich darauf hin, dass der Eingriff in die Grundrechte, der mit der Speicherung von Identitätsdaten, die einer IP‑Adresse zugeordnet sind, und mit dem Zugang zu ihnen in einem Fall wie dem des Ausgangsverfahrens einhergeht, nicht durch den Umstand verschärft wird, dass der Inhaber des Internetzugangs, der zur Zugänglichmachung eines rechtsverletzenden Inhalts genutzt wurde, nicht notwendigerweise auch der Urheber dieser Zugänglichmachung ist, so dass die von der Hadopi ausgesprochene Empfehlung dazu führen könnte, dass diesem Anschlussinhaber der in Rede stehende Inhalt, auf den ein Dritter zugreifen konnte, offenbart wird. Zum einen weise ich darauf hin, dass der von der Hadopi untersuchte Verstoß in der Verletzung der Pflicht besteht, dafür zu sorgen, dass der Zugang nicht dafür genutzt wird, Inhalte unter Verletzung des Urheberrechts zugänglich zu machen. Daher ist es notwendig, dass die Informationen, die die Einstufung dieses Verstoßes ermöglichen, dem mutmaßlichen Täter übermittelt werden. Zum anderen lassen die Informationen über das in Rede stehende Werk, wie bereits erwähnt, meines Erachtens keine genauen Schlüsse auf das Privatleben der Person zu, die das Werk zugänglich gemacht hat. Die mögliche Weitergabe dieser Informationen an den Inhaber des Internetanschlusses geht daher nicht über das hinaus, was erforderlich ist, um die Verfolgung der betreffenden Urheberrechtsverletzung zu ermöglichen.
b) Die Unentbehrlichkeit der in Rede stehenden Daten für die Aufdeckung und Verfolgung einer Straftat
58. Um die Verhältnismäßigkeit einer nach Art. 15 Abs. 1 der Richtlinie 2002/58 ergriffenen Maßnahme zur Speicherung von und zum Zugang zu Verkehrsdaten wie z. B. Identitätsdaten, die einer IP‑Adresse zugeordnet sind, zu gewährleisten, muss sich der damit verbundene Eingriff nach der Rechtsprechung des Gerichtshofs auf das für die Erreichung des verfolgten Ziels absolut Notwendige beschränken(21). Dies scheint mir in Bezug auf die im Ausgangsverfahren in Rede stehende Maßnahme gerade der Fall zu sein.
59. Wie ich in meinen ersten Schlussanträgen(22) dargelegt habe, ergibt sich bereits aus der Rechtsprechung des Gerichtshofs selbst, dass im Fall einer ausschließlich online begangenen Straftat, wie etwa einer Urheberrechtsverletzung in einem Peer-to-Peer-Netzwerk, die IP‑Adresse der einzige Anhaltspunkt sein kann, der es ermöglicht, die Identität der Person zu ermitteln, der diese Adresse zugewiesen war, als die Tat begangen wurde(23). Daraus folgt meines Erachtens, dass die Speicherung von Identitätsdaten, die einer IP‑Adresse zugeordnet sind, und der Zugang zu ihnen zum Zweck der Aufdeckung und Verfolgung von online begangenen Verletzungen des Urheberrechts nach der Rechtsprechung für die Erreichung des verfolgten Ziels absolut notwendig sind.
60. Zwar setzt jedes Erfordernis eines Schutzes personenbezogener Daten eine Beschränkung der Ermittlungsbefugnisse voraus. Dies ergibt sich aus dem Grundsatz des Ausgleichs widerstreitender Interessen, und ein solches Ergebnis kann als solches nicht in Frage gestellt werden. Ist die IP‑Adresse jedoch der einzige Anhaltspunkt, der es ermöglicht, die Identität der Person zu ermitteln, die verdächtigt wird, online eine Verletzung eines Rechts des geistigen Eigentums begangen zu haben, unterscheidet sich eine solche Situation von der Mehrheit der Strafverfolgungen, zu denen der Gerichtshof feststellt, dass „die Wirksamkeit … im Allgemeinen nicht von einem einzigen Ermittlungsinstrument abhängt, sondern von allen Ermittlungsinstrumenten, über die die zuständigen nationalen Behörden zu diesem Zweck verfügen“(24). Würde man anerkennen, dass die Identitätsdaten, die einer IP‑Adresse zugeordnet sind, in einer Situation wie der des Ausgangsverfahrens nicht Gegenstand der Speicherung und des Zugriffs sein dürften, hätte dies nicht – wie bei jeder Maßnahme, die den Schutz von Verkehrsdaten sicherstellt – eine bloße Beschränkung der Ermittlungsbefugnisse zur Folge, sondern würde den nationalen Behörden das einzige Mittel zur Aufdeckung und Verfolgung bestimmter Straftaten vorenthalten.
61. Nach der von mir vorgeschlagenen Auslegung von Art. 15 Abs. 1 der Richtlinie 2002/58 geht es mit anderen Worten nicht darum, durch die Prüfung der Notwendigkeit einer solchen Maßnahme die Speicherung von und den Zugang zu Daten zu ermöglichen, die die Aufdeckung und Verfolgung von Straftaten lediglich erleichtern, wenn diese Straftaten auch mit konkurrierenden Mitteln aufgedeckt und verfolgt werden können, mögen diese auch weniger wirksam sein. Hier geht es vielmehr um die Zulässigkeit der Speicherung dieser Daten und des Zugangs zu ihnen, wenn sie für die Identifizierung der Person, die verdächtigt wird, eine Straftat begangen zu haben, unentbehrlich sind, so dass diese Straftat ohne diese Anhaltspunkte nicht verfolgt werden könnte, weil die fraglichen Daten im Fall einer ausschließlich online begangenen Straftat das einzige Mittel zur Identifizierung des Internetnutzers darstellen.
62. Eine solche Auslegung ist meines Erachtens geboten, sofern man nicht hinzunehmen bereit ist, dass eine ganze Reihe von Straftaten niemals verfolgt werden könnten(25).
63. Aus all dem ergibt sich meines Erachtens, dass eine nationale Regelung, die eine auf Identitätsdaten, die einer IP‑Adresse zugeordnet sind, beschränkte Speicherung durch die Anbieter elektronischer Kommunikationsdienste und den Zugang einer Verwaltungsbehörde zu diesen Daten zulässt, in vollem Umfang in einem angemessenen Verhältnis zu dem angestrebten Ziel steht, nämlich die Verletzung von Urheberrechten und verwandten Schutzrechten im Internet zu verfolgen, weil die Schwere des damit verbundenen Eingriffs in die Grundrechte begrenzt ist und diese Daten der einzige Anhaltspunkt sind, der es ermöglicht, die Identität der Person zu ermitteln, der diese Adresse zugewiesen war, als die Tat begangen wurde.
64. Daher bin ich der Auffassung, dass Art. 15 Abs. 1 der Richtlinie 2002/58 dahin ausgelegt werden sollte, dass er einer solchen Regelung nicht entgegensteht.
2. Zum Bestehen angemessener materieller und verfahrensrechtlicher Garantien
65. Speziell in Bezug auf den Zugang zu Identitätsdaten, die einer IP‑Adresse zugeordnet sind, geht aus der Rechtsprechung des Gerichtshofs hervor, dass die strikte Verhältnismäßigkeit der Maßnahme allein nicht ausreicht, um sie mit Art. 15 Abs. 1 der Richtlinie 2002/58 vereinbar zu machen.
66. Um sicherzustellen, dass der Zugang zu Verkehrs- und Standortdaten auf das absolut Notwendige beschränkt ist, hielt es der Gerichtshof nämlich für unabdingbar, dass dieser Zugang einer vorherigen Kontrolle entweder durch ein Gericht oder durch eine unabhängige Verwaltungsstelle unterworfen wird, die über alle Befugnisse verfügt und alle erforderlichen Garantien bietet, die erforderlich sind, um zu gewährleisten, dass die verschiedenen einander gegenüberstehenden berechtigten Interessen und Rechte in Einklang gebracht werden(26).
67. Eine streng wörtliche Lesart der Rechtsprechung würde daher zu der Annahme führen, dass der Zugriff der Hadopi auf die einer IP‑Adresse zugeordneten Identitätsdaten von Personen, die verdächtigt werden, eine Urheberrechtsverletzung im Internet begangen zu haben, von einer solchen vorherigen Kontrolle abhängig gemacht werden müsste, die im Mechanismus der abgestuften Reaktion in seiner derzeitigen Form fehlt.
68. Wie die irische Regierung in der mündlichen Verhandlung vorgebracht hat und wie ich in meinen ersten Schlussanträgen argumentiert habe, ist das Erfordernis einer vorherigen Kontrolle durch ein Gericht oder durch eine unabhängige Verwaltungsstelle meines Erachtens jedoch kein systematisches Erfordernis, sondern hängt von einer umfassenderen Analyse der in Rede stehenden Maßnahme ab, die sowohl die Schwere des Eingriffs, der mit dieser Maßnahme einhergeht, als auch die durch sie vorgesehenen Garantien berücksichtigt.
69. Ich weise nämlich darauf hin, dass es in jedem der Urteile, in denen dieses Erfordernis einer Vorabkontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle aufgestellt wurde, um nationale Regelungen ging, die den Zugang zu allen Verkehrs- und Standortdaten der Nutzer in Bezug auf sämtliche von ihnen genutzten elektronischen Kommunikationsmittel(27) oder zumindest in Bezug auf die Festnetz- und Mobiltelefonie(28) identifizierter Nutzer ermöglichten.
70. Daraus schließe ich, dass sich das Erfordernis einer solchen vorherigen Kontrolle nach der Schwere des in den betreffenden Rechtssachen in Rede stehenden Eingriffs richtet. Wie der Gerichtshof ausgeführt hat, handelte es sich um Daten, die „in der Tat geeignet [sind], genaue oder sogar sehr genaue Schlüsse auf das Privatleben der Personen … zuzulassen, etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren“(29). Zudem ging es um die Daten von Personen, die bereits aufgrund anderer Indizien identifiziert und verdächtigt wurden, eine Straftat begangen zu haben, so dass diese Daten es ermöglichten, die gegen den betreffenden Nutzer vorliegenden belastenden Beweise zu verstärken, indem der Umfang der ihn betreffenden Daten erweitert wurde.
71. Was die im Ausgangsverfahren in Rede stehende Regelung betrifft, ist die Schwere des mit der Verknüpfung von Identitätsdaten mit einer IP‑Adresse verbundenen Eingriffs, wie ich bereits ausgeführt habe, jedoch weitaus geringer als die Schwere des Eingriffs, der sich aus dem Zugang zu sämtlichen Verkehrs- und Standortdaten einer Person ergibt, da diese Verknüpfung keine Anhaltspunkte liefert, die genaue Schlüsse auf das Privatleben der Zielperson zulassen.
72. Außerdem beziehen sich diese Daten, wie ich in meinen ersten Schlussanträgen(30) dargelegt habe, nur auf Personen, deren IP‑Adresse nach einer von den Einrichtungen der Rechteinhaber objektiv getroffenen Feststellung zur Verletzung eines Urheberrechts benutzt wurde und die somit Handlungen vorgenommen haben, die einen Verstoß gegen die in Art. L. 336‑3 CPI festgelegte Sorgfaltspflicht darstellen können. Diese Personen sind nicht vorab durch andere Mittel identifiziert worden, weil die Verknüpfung der IP‑Adresse mit den Identitätsdaten das einzige Mittel zur Identifizierung der betroffenen Person ist. Anders als in den Rechtssachen, die der Gerichtshof zuvor zu entscheiden hatte, ermöglichte der Zugang zu diesen Daten es daher nicht, zusätzliche und genaue Informationen über die Aktivitäten von Personen zu erhalten, die bereits auf der Grundlage anderer Anhaltspunkte verdächtigt wurden, sondern lediglich, die für andere Zwecke unergiebige IP‑Adresse verwertbar zu machen. Unter diesen Umständen sind die Daten, zu denen die Hadopi Zugang hat, de facto begrenzt.
73. Nach meiner Auffassung besteht ein grundlegender Unterschied zwischen dem Zugang zu personenbezogenen Daten einer Person, die verdächtigt wird, eine Straftat begangen zu haben, der dazu dienen soll, ihre Schuld zu beweisen, und dem Zugang zu solchen Daten, der es ermöglichen soll, die Identität des Täters einer bereits festgestellten Straftat aufzudecken.
74. Dies gilt meines Erachtens umso mehr, als die Erhebung von IP‑Adressen in Peer-to-Peer-Netzen Gegenstand einer vorherigen Genehmigung ist, die auf diese Daten beschränkt ist, so dass die Hadopi nie über einen unbegrenzten Datensatz in Bezug auf die Internetnutzer verfügt, die verdächtigt werden, eine Urheberrechtsverletzung im Internet begangen zu haben(31).
75. Daher findet die Logik, die dem Erfordernis einer vorherigen Kontrolle durch ein Gericht oder durch eine unabhängige Verwaltungsstelle zugrunde liegt, keine Anwendung auf einen Mechanismus der abgestuften Reaktion, wie er im Ausgangsverfahren in Rede steht, so dass ich ein solches Erfordernis für unnötig halte, um sicherzustellen, dass der mit diesem Mechanismus verbundene Eingriff in die Grundrechte auf das absolut Notwendige beschränkt bleibt.
76. Aus all dem folgt, dass eine nationale Regelung, die eine Speicherung von Identitätsdaten, die einer IP‑Adresse zugeordnet sind, erlaubt und einer unabhängigen Verwaltungsbehörde wie der Hadopi den Zugang zu diesen Daten gestattet, damit sie die Inhaber dieser Adressen, die im Verdacht stehen, für Urheberrechtsverletzungen verantwortlich zu sein, identifizieren kann, ohne dass dieser Zugang von einer vorherigen Kontrolle durch ein Gericht oder durch eine unabhängige Verwaltungsstelle abhängig gemacht wird, letztlich im Einklang mit den durch die Rechtsprechung des Gerichtshofs aufgestellten Grundsätzen steht, wenn diese Daten der einzige Anhaltspunkt sind, der es ermöglicht, die Identität der Person zu ermitteln, der diese Adresse zugewiesen war, als die Tat begangen wurde, so dass Art. 15 Abs. 1 der Richtlinie 2002/58 dahin auszulegen ist, dass er einer solchen Regelung nicht entgegensteht.
77. Abgesehen von diesen Erwägungen, die speziell den im Ausgangsverfahren in Rede stehenden Fall betreffen, muss ich noch einige allgemeinere Bemerkungen zur Notwendigkeit dieser Weiterentwicklung der Rechtsprechung des Gerichtshofs machen.
C. Eine notwendige und begrenzte Weiterentwicklung der Rechtsprechung
78. Mehrere Argumente sprechen für eine Verfeinerung der Rechtsprechung des Gerichtshofs zur Speicherung von Daten wie IP‑Adressen, die mit Identitätsdaten verknüpft sind, und zum Zugang zu ihnen.
79. Erstens ist, wie ich bereits ausgeführt habe(32), die Beschaffung der Identitätsdaten, die einer IP‑Adresse zugeordnet sind, in der im Ausgangsverfahren in Rede stehenden Situation der einzige Anhaltspunkt, der es ermöglicht, die Identität der Person zu ermitteln, der diese Adresse zugewiesen war, als die Tat begangen wurde.
80. Sollte der Gerichtshof zu der Auffassung gelangen, dass Art. 15 Abs. 1 der Richtlinie 2002/58 der Speicherung dieser Daten und dem Zugang zu ihnen entgegensteht, hätte dies zwangsläufig zur Folge, dass den nationalen Behörden de facto dieses einzige Mittel zur Identifizierung vorenthalten würde und somit die Urheber der fraglichen Straftaten niemals verfolgt werden könnten(33). Dies hat mich in meinen ersten Schlussanträgen veranlasst, auf die Möglichkeit einer systemischen Straflosigkeit für diese Straftaten hinzuweisen(34).
81. Diese Gefahr einer systemischen Straflosigkeit beschränkt sich nicht auf Urheberrechtsverletzungen, die in Peer-to-Peer-Netzen begangen werden, sondern erstreckt sich, wie die tschechische Regierung in der mündlichen Verhandlung vorgetragen hat, auf alle ausschließlich online begangenen Straftaten.
82. Straftaten, deren Urheber sich nur anhand ihrer IP‑Adressen identifizieren lassen, könnten nämlich niemals verfolgt und die Vorschriften, die diese Taten unter Strafe stellen, niemals angewendet werden, wenn entschieden werden sollte, dass sowohl die Speicherung der Daten als auch der Zugang zu ihnen gegen das Unionsrecht verstoßen.
83. In diesem Zusammenhang räume ich ein, dass die Täter bestimmter ausschließlich online begangener Straftaten, wie die Kläger des Ausgangsverfahrens vorgebracht haben, theoretisch auch mit anderen Mitteln identifiziert werden könnten. So verweisen die Kläger des Ausgangsverfahrens insbesondere auf die in sozialen Netzwerken verwendete Kennung und die mit dem Konto des Nutzers verbundenen Daten, seine E‑Mail-Adresse, seine Telefonnummer oder ein Merkmal aus seinem Privatleben, das die Person preisgegeben hat. Um solche Daten mit der Identität einer Person in Verbindung zu bringen, sind jedoch umfangreiche Ermittlungen erforderlich, bei denen die Online-Aktivitäten des Internetnutzers untersucht werden. Der Rückgriff auf solche Anhaltspunkte scheint mir somit geeignet zu sein, im Gegensatz zur bloßen IP‑Adresse sehr genaue Schlüsse auf das Privatleben von Personen zu ermöglichen, so dass die Speicherung dieser Daten und der Zugang zu ihnen aus diesem Grund gegen Art. 15 Abs. 1 der Richtlinie 2002/58 verstoßen würden.
84. Unter diesen Umständen ist der Zugang zu Identitätsdaten, die einer IP‑Adresse zugeordnet sind, zwar theoretisch nicht das einzige Untersuchungsmittel, mit dem sich die Identität der Person ermitteln lässt, der diese Adresse zugewiesen war, als die Tat begangen wurde, wohl aber das mit dem geringsten Eingriff in die Grundrechte verbundene Mittel, das es ermöglicht, diese Person zu verfolgen und somit eine allgemeine Straflosigkeit zu vermeiden.
85. Zweitens weise ich erneut darauf hin, dass eine solche Lösung meines Erachtens zwei Linien der Rechtsprechung des Gerichtshofs miteinander in Einklang bringen könnte, die in einem gewissen Spannungsverhältnis zueinander stehen, das ich in meinen ersten Schlussanträgen(35) und in meinen Schlussanträgen in der Rechtssache M.I.C.M.(36) aufgezeigt habe, nämlich einerseits die Rechtsprechung zur Vorratsspeicherung von Daten und zum Zugang zu ihnen und andererseits die Rechtsprechung zur Weitergabe von IP‑Adressen, die der Quelle einer Verbindung zugeordnet sind, im Rahmen von Klagen zum Schutz von Rechten des geistigen Eigentums, die von Privatpersonen eingeleitet werden.
86. Drittens ist die Rechtsprechung des Gerichtshofs seit den Urteilen Tele2 und La Quadrature du Net u. a. zwar zu begrüßen, weil sie die Schaffung eines Rahmens zum Schutz der Grundrechte von Nutzern elektronischer Kommunikationsdienste ermöglicht hat, aber sie ist gleichwohl von einer gewissen Kasuistik geprägt. Im Lauf der ihm zur Prüfung vorgelegten Rechtssachen hat der Gerichtshof nämlich eine zunehmende Verfeinerung seiner Rechtsprechung vorgenommen, die es ihm ermöglicht, verschiedene nationale Regelungen im Licht von Art. 15 Abs. 1 der Richtlinie 2002/58 zu untersuchen. Es ist dem Gerichtshof jedoch nicht möglich, alle Maßnahmen, die im Licht dieser Bestimmung geprüft werden könnten, gedanklich vorwegzunehmen. Dies bezeugen im Übrigen die zahlreichen Vorabentscheidungsersuchen(37), die dem Gerichtshof seit dem Urteil Tele2 vorgelegt wurden, was meines Erachtens die Schwierigkeit der nationalen Gerichte belegt, die in der Rechtsprechung des Gerichtshofs niedergelegten Grundsätze auf Fälle anzuwenden, die sich von denen unterscheiden, die zu den in Rede stehenden Urteilen geführt haben(38).
87. Daraus folgt, dass ich eine gewisse Flexibilität für notwendig halte, wenn dem Gerichtshof Maßnahmen zur Prüfung vorgelegt werden, die in früheren Urteilen nicht in Betracht gezogen werden konnten, wie z. B. Regelungen, die auf Straftaten abzielen, die nur verfolgt werden können, wenn die Identitätsdaten, die einer IP‑Adresse zugeordnet sind, gespeichert und zugänglich gemacht werden, und mit denen sich der Gerichtshof bislang noch nie befasst hat.
88. Es geht also nicht darum, wie von der dänischen Regierung angeregt, die Rechtsprechung des Gerichtshofs zu überdenken, sondern einzuräumen, dass auf der Grundlage der ihr zugrunde liegenden Grundsätze unter sehr begrenzten Umständen eine differenziertere Lösung gefunden werden kann.
89. Die von mir vorgeschlagene Auslegung von Art. 15 Abs. 1 der Richtlinie 2002/58 erlaubt nämlich die Speicherung von Identitätsdaten, die einer IP‑Adresse zugeordnet sind, und den Zugang zu ihnen nur zum Zweck der Verfolgung von Straftaten, deren Täter ohne diese Daten nicht identifiziert werden könnten. Sie bezieht sich daher nur auf Straftaten, die ausschließlich online begangen werden, und stellt die von der Rechtsprechung entwickelten Lösungen für die andere Ziele verfolgende Speicherung umfangreicherer Daten und den Zugang zu ihnen nicht in Frage.
V. Ergebnis
90. Nach alledem schlage ich dem Gerichtshof vor, die vom Conseil d’État (Staatsrat, Frankreich) gestellten Vorlagefragen wie folgt zu beantworten:
Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist im Licht der Art. 7, 8 und 11 sowie von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union
dahin auszulegen,
dass er einer nationalen Regelung nicht entgegensteht, die den Anbietern elektronischer Kommunikationsdienste eine auf Identitätsdaten, die IP‑Adressen zugeordnet sind, beschränkte Vorratsspeicherung erlaubt und einer Verwaltungsbehörde, deren Aufgabe es ist, das Urheberrecht und verwandte Schutzrechte vor im Internet begangenen Verletzungen zu schützen, den Zugang zu diesen Daten gestattet, damit diese Behörde die Inhaber dieser Adressen, die im Verdacht stehen, für diese Rechtsverletzungen verantwortlich zu sein, ermitteln und gegebenenfalls Maßnahmen gegen sie ergreifen kann, ohne dass dieser Zugang einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterliegt, wenn diese Daten den einzigen Anhaltspunkt darstellen, der es ermöglicht, die Identität der Personen zu ermitteln, denen diese Adressen zugewiesen waren, als die Tat begangen wurde.