SCHLUSSANTRÄGE DES GENERALANWALTS
MANUEL CAMPOS SÁNCHEZ-BORDONA
vom 15. Januar 2020(1)
Rechtssache C‑623/17
Privacy International
gegen
Secretary of State for Foreign and Commonwealth Affairs,
Secretary of State for the Home Department,
Government Communications Headquarters,
Security Service Srl,
Secret Intelligence Service
(Vorabentscheidungsersuchen des Investigatory Powers Tribunal [Gericht für Ermittlungsbefugnisse, Vereinigtes Königreich])
„Vorlage zur Vorabentscheidung – Verarbeitung personenbezogener Daten und Schutz des Privatlebens im Bereich der elektronischen Kommunikation – Richtlinie 2002/58/EG – Geltungsbereich – Art. 1 Abs. 3 – Art. 15 Abs. 3 – Charta der Grundrechte der Europäischen Union – Art. 7, 8, 51 und Art. 52 Abs. 1 – Art. 4 Abs. 2 EUV – Allgemeine und unterschiedslose Übermittlung von Verbindungsdaten der Nutzer eines elektronischen Kommunikationsdienstes an die Sicherheitsdienste“
1. Der Gerichtshof hat in den letzten Jahren seine ständige Rechtsprechung zur Speicherung und zum Zugang zu personenbezogenen Daten beibehalten, von der insbesondere folgende Urteile zu nennen sind:
– das Urteil vom 8. April 2014, Digital Rights Ireland u. a.(2), in dem der Gerichtshof die Richtlinie 2006/24/EG(3) für ungültig erklärt hat, weil sie einen unverhältnismäßigen Eingriff in die in den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) verankerten Rechte zuließ;
– das Urteil vom 21. Dezember 2016, Tele2 Sverige und Watson u. a.(4), in dem er Art. 15 Abs. 1 der Richtlinie 2002/58/EG(5) ausgelegt hat;
– das Urteil vom 2. Oktober 2018, Ministerio Fiscal(6), in dem die Auslegung dieser Vorschrift der Richtlinie 2002/58 bestätigt wurde.
2. Diese Urteile (insbesondere das zweite) geben den Behörden einiger Mitgliedstaaten Anlass zur Besorgnis, da ihnen ihrer Ansicht nach ein Instrument vorenthalten wird, das sie als für den Schutz der nationalen Sicherheit und für die Bekämpfung von Kriminalität und Terrorismus notwendig erachten. Aus diesem Grund fordern einige dieser Mitgliedstaaten, diese Rechtsprechung aufzugeben oder anzupassen.
3. Drei Gerichte der Mitgliedstaaten haben in vier Vorabentscheidungsersuchen(7), zu denen ich heute meine Schlussanträge vorlege, auf diese Besorgnis hingewiesen.
4. Die vier Rechtssachen beziehen sich insbesondere auf das Problem der Anwendung der Richtlinie 2002/58 auf Tätigkeiten im Zusammenhang mit der nationalen Sicherheit und der Terrorismusbekämpfung. Sollte diese Richtlinie insoweit anwendbar sein, müsste im Anschluss geklärt werden, inwieweit die Mitgliedstaaten die von ihr geschützten Datenschutzrechte einschränken können. Schließlich ist zu prüfen, inwieweit die verschiedenen nationalen Regelungen (die britische(8), die belgische(9) und die französische(10)) auf diesem Gebiet mit dem Unionsrecht in seiner Auslegung durch den Gerichtshof vereinbar sind.
I. Rechtlicher Rahmen
A. Unionsrecht
5. Ich verweise auf den entsprechenden Abschnitt meiner Schlussanträge in den Rechtssachen C‑511/18 und C‑512/18.
B. Nationales (auf den streitigen Sachverhalt anwendbares) Recht
1. Telecommunications Act 1984(11)
6. Nach Section 94 kann der Secretary of State einem Betreiber eines öffentlichen elektronischen Kommunikationsnetzwerks allgemeine oder spezielle Weisungen erteilen, die ihm im Interesse der nationalen Sicherheit oder der Beziehungen zur Regierung eines Landes oder Gebiets außerhalb des Vereinigten Königreichs notwendig erscheinen.
2. Data Retention and Investigatory Powers Act 2014(12)
7. Section 1 bestimmt:
„(1) Der Secretary of State kann durch Anordnung von einem Betreiber eines öffentlichen Telekommunikationsdienstes verlangen, relevante Kommunikationsdaten auf Vorrat zu speichern, wenn er dies für einen oder mehrere der unter Section 22(2)(a) bis (h) des Regulation of Investigatory Powers Act 2000 [Gesetz von 2000 zur Regelung von Ermittlungsbefugnissen, im Folgenden: RIPA] fallenden Zwecke für erforderlich und verhältnismäßig hält.
(2) Eine Vorratsspeicherungsanordnung kann
(a) sich auf einen bestimmten Betreiber oder eine Kategorie von Betreibern beziehen;
(b) die Vorratsspeicherung aller Daten oder einer Kategorie von Daten vorschreiben;
(c) den Zeitraum oder Zeiträume angeben, für die Daten auf Vorrat gespeichert werden sollen;
(d) andere Erfordernisse oder Beschränkungen in Bezug auf die Vorratsdatenspeicherung enthalten;
(e) anderes für andere Zwecke vorsehen;
(f) sich auf Daten unabhängig davon beziehen, ob sie zum Zeitpunkt des Erlasses oder des Inkrafttretens der Anordnung vorhanden sind oder nicht.
(3) Der Secretary of State kann durch Verordnung weitere Bestimmungen über die Vorratsspeicherung relevanter Kommunikationsdaten erlassen.
(4) Diese Bestimmungen können insbesondere Regelungen enthalten über
(a) Voraussetzungen für den Erlass einer Vorratsspeicherungsanordnung,
(b) die Höchstdauer der auf eine Vorratsspeicherungsanordnung erfolgten Speicherung von Daten,
(c) Inhalt, Erlass, Inkrafttreten, Überprüfung, Änderung oder Aufhebung einer Vorratsspeicherungsanordnung,
(d) die Integrität, die Sicherheit oder den Schutz von, den Zugang zu oder die Offenlegung oder Zerstörung von nach dieser Section auf Vorrat gespeicherten Daten,
(e) die Durchsetzung oder Überprüfung der Einhaltung der einschlägigen Erfordernisse oder Beschränkungen,
(f) einen Verfahrenskodex bezüglich einschlägiger Erfordernisse oder Beschränkungen oder relevanter Befugnisse,
(g) die (an Bedingungen geknüpfte oder bedingungslose) Erstattung von Kosten, die Betreibern eines öffentlichen Telekommunikationsdienstes dadurch entstehen, dass sie sich an die einschlägigen Erfordernisse oder Beschränkungen halten, durch den Secretary of State,
…
(5) Die Höchstdauer nach Subsection (4)(b) darf zwölf Monate nicht überschreiten, beginnend mit dem Tag, der in Bezug auf die betreffenden Daten in der Verordnung nach Subsection (3) festgelegt ist.
(6) Ein Betreiber eines öffentlichen Telekommunikationsdienstes, der relevante Kommunikationsdaten nach dieser Section auf Vorrat speichert, darf die Daten nicht offenlegen, außer
(a) gemäß
(i) Kapitel 2 in Teil 1 [RIPA] oder
(ii) einem gerichtlichen Beschluss oder einer anderen gerichtlichen Erlaubnis oder Maßnahme oder
(b) nach den Bestimmungen in Subsection (3).
(7) Der Secretary of State kann durch eine Verordnung, die sich auf eine nach Subsection (4)(d) bis (g) oder Subsection (6) erlassene (oder zu erlassende) Bestimmung bezieht, in Bezug auf Kommunikationsdaten, die von Betreibern öffentlicher Telekommunikationsdienstleistungen nach dem Verhaltenskodex gemäß Section 102 des Anti-terrorism, Crime and Security Act 2001 [Gesetz über Terrorismusbekämpfung, Straftaten und Sicherheit von 2001] auf Vorrat zu speichern sind, eine Regelung treffen.“
3. RIPA
8. In Section 21 heißt es:
„…
(4) In diesem Kapitel werden vom Begriff ‚Kommunikationsdaten‘ erfasst:
(a) alle Verkehrsdaten, die in einer Nachricht für die Zwecke eines Postdienstes oder Telekommunikationssystems, über den oder das sie übermittelt wird oder übermittelt werden kann, enthalten oder ihr (vom Sender oder anderweitig) beigefügt sind;
(b) jede nicht den Inhalt einer Nachricht betreffende Information (außer den unter Buchst. a fallenden Informationen) über die Nutzung
(i) eines Post- oder Telekommunikationsdienstes durch eine Person oder
(ii) irgendeines Teils eines Telekommunikationssystems durch eine Person in Verbindung mit der Bereitstellung eines Telekommunikationsdienstes an eine Person oder dessen Nutzung durch diese;
(c) jede nicht unter Buchst. (a) oder (b) fallende Information, über die der Erbringer einer Post- oder Telekommunikationsdienstleistung im Hinblick auf Personen, denen er die Dienstleistung erbringt, verfügt oder die er erhält.
…
(6) In dieser Section bedeutet der Begriff ‚Verkehrsdaten‘ in Bezug auf eine Nachricht
(a) alle Daten, die eine Person, ein Gerät oder einen Ort identifizieren oder identifizieren können, zu oder von der bzw. dem die Nachricht übermittelt wird oder übermittelt werden kann;
(b) alle Daten, die Geräte, durch die oder mittels derer die Nachricht übermittelt wird oder übermittelt werden kann, identifizieren oder wählen oder identifizieren oder wählen können;
(c) alle Daten, die Signale für die Betätigung des Geräts enthalten, das in einem Kommunikationssystem für die (ganze oder teilweise) Übermittlung einer Nachricht verwendet wird, und
(d) alle Daten, die Daten oder andere Daten als Daten identifizieren, die in einer bestimmten Nachricht enthalten sind oder dieser angehängt sind.
…“
9. In Section 22 heißt es:
„(1) Die vorliegende Section findet Anwendung, wenn eine für die Zwecke dieses Kapitels benannte Person aus unter Subsection (2) fallenden Gründen die Beschaffung von Kommunikationsdaten für erforderlich hält.
(2) Die Beschaffung von Kommunikationsdaten ist aus unter diese Subsection fallenden Gründen erforderlich, wenn dies erforderlich ist
(a) im Interesse der nationalen Sicherheit;
(b) zur Vorbeugung oder Aufdeckung von Straftaten oder zur Verhütung von Störungen der öffentlichen Ordnung;
(c) im Interesse des wirtschaftlichen Wohls des Vereinigten Königreichs, sofern diese Interessen auch für die Interessen der nationalen Sicherheit relevant sind;
(d) im Interesse der öffentlichen Sicherheit;
(e) zum Schutz der öffentlichen Gesundheit;
(f) zur Festsetzung oder Erhebung von Steuern, Zöllen, Abgaben oder anderen Lasten, Beiträgen oder Gebühren, die an eine staatliche Stelle zu entrichten sind;
(g) um im Notfall den Tod oder eine Verletzung oder jegliche Schädigung der physischen oder psychischen Gesundheit einer Person zu verhindern oder eine Verletzung oder Schädigung der physischen oder psychischen Gesundheit einer Person zu lindern;
(h) zu jedem (nicht unter die vorstehenden Buchst. a bis g fallenden) Zweck, der für die Zwecke dieser Subsection in einer Verordnung des Secretary of State aufgeführt wird.
(4) Vorbehaltlich Subsection (5) kann die benannte Person, wenn sie meint, dass der Betreiber eines Post- oder Telekommunikationsdienstes im Besitz von Kommunikationsdaten ist oder sein kann oder sich diese beschaffen kann, von diesem Betreiber durch eine an ihn gerichtete Anordnung verlangen, dass er
(a) wenn er noch nicht im Besitz der Daten ist, sich diese Daten beschafft und
(b) in jedem Fall sämtliche sich in seinem Besitz befindlichen oder von ihm später beschafften Daten offenlegt.
(5) Die benannte Person darf nur dann eine Erlaubnis nach Subsection (3) erteilen oder eine Anordnung nach Subsection (4) erlassen, wenn sie der Auffassung ist, dass die Beschaffung der betreffenden Daten durch das erlaubte oder mit der Erlaubnis oder Anordnung verlangte Vorgehen zu dem Ziel, das mit dieser Beschaffung der Daten erreicht werden soll, im Verhältnis steht.“
10. Nach Section 65 kann beim Investigatory Powers Tribunal (Gericht für Ermittlungsbefugnisse, Vereinigtes Königreich) Beschwerde erhoben werden, wenn Grund zur Annahme besteht, dass Daten auf unangemessene Weise beschafft wurden.
II. Sachverhalt und Vorlagefragen
11. Nach Angaben des vorlegenden Gerichts betrifft der Ausgangsrechtsstreit den Erwerb und die Verwendung von Massen-Telekommunikationsdaten durch die United Kingdom Security and Intelligence Agencies (Sicherheits- und Nachrichtendienste des Vereinigten Königreichs, im Folgenden: SND).
12. Diese Daten beziehen sich darauf, „wer“ Telefon und Internet nutzt und „wann, wo, wie und mit wem“ er sie nutzt. Sie beinhalten den Standort von Mobil- und Festnetztelefonen, von denen Gespräche abgehen oder empfangen werden, sowie den von Computern, die für den Zugang ins Internet genutzt werden. Sie umfassen nicht den Inhalt der Nachrichten, der nur durch einen Gerichtsbeschluss erlangt werden kann.
13. Die Klägerin des Ausgangsverfahrens (Privacy International, eine Nichtregierungsorganisation zur Verteidigung der Menschenrechte) hat beim vorlegenden Gericht Klage erhoben und geltend gemacht, dass der Erwerb und die Nutzung der genannten Daten durch die SND gegen das in Art. 8 der Konvention zum Schutz der Menschenrechte und Grundfreiheiten (im Folgenden: EMRK) verankerte Recht auf Privatleben und gegen Unionsrecht verstießen.
14. Die beklagten Behörden(13) entgegnen, dass ihr Gebrauch solcher Befugnisse rechtmäßig und insbesondere für den Schutz der nationalen Sicherheit unbedingt notwendig sei.
15. Nach den in der Vorlageentscheidung enthaltenen Informationen erhalten die SND im Rahmen der vom Secretary of State gemäß Section 94 des Gesetzes von 1984 erteilten Anweisungen die Massen-Telekommunikationsdaten über die Betreiber öffentlicher elektronischer Kommunikationsnetze.
16. Diese Daten umfassen Verkehrs- und Standortdaten mit Informationen über soziale, geschäftliche und finanzielle Tätigkeiten, Kommunikationen und Reisen der Nutzer. Die SND verwahren diese Daten, sobald sie in ihrem Besitz sind, sicher und verwenden Techniken (wie z. B. Filtern und Abgleichen), die nicht zielgerichtet sind, d. h. nicht auf spezielle und bekannte Ziele ausgerichtet sind.
17. Das vorlegende Gericht hält es für erwiesen, dass diese Techniken für die Arbeit der SND bei der Bekämpfung ernsthafter Bedrohungen der öffentlichen Sicherheit, insbesondere des Terrorismus, der Spionage und der nuklearen Proliferation notwendig sind. Die Fähigkeit, die Daten zu erwerben und zu nutzen, sei für den Schutz der nationalen Sicherheit des Vereinigten Königreichs wesentlich.
18. Die streitigen Maßnahmen stünden im Einklang mit dem innerstaatlichen Recht und Art. 8 EMRK. In Anbetracht des Urteils Tele2 Sverige und Watson bestünden jedoch Zweifel an der Vereinbarkeit mit dem Unionsrecht.
19. In diesem Kontext legt es dem Gerichtshof folgende Fragen zur Vorabentscheidung vor:
1. Fällt in Anbetracht von Art. 4 EUV und Art. 1 Abs. 3 der Richtlinie 2002/58 eine Verpflichtung in einer Anweisung eines Secretary of State an einen Betreiber eines elektronischen Kommunikationsnetzwerks, den SND eines Mitgliedstaats Massen-Telekommunikationsdaten zur Verfügung zu stellen, in den Anwendungsbereich des Unionsrechts und der Richtlinie 2002/58?
2. Wenn die erste Frage bejaht wird: Ist eine der im Urteil Tele2 Sverige und Watson aufgestellten Anforderungen[(14)] oder irgendeine andere Anforderung zusätzlich zu den in der EMRK aufgestellten auf eine solche Anweisung eines Secretary of State anwendbar? Und, wenn ja, wie und inwieweit sind solche Anforderungen anwendbar unter Berücksichtigung des wesentlichen Bedürfnisses der SND, den Erwerb großer Datenmengen und Techniken automatisierter Datenverarbeitung zu nutzen, um die nationale Sicherheit zu schützen, und unter Berücksichtigung dessen, in welchem Maß solche Fähigkeiten, die im Übrigen mit der EMRK in Einklang stehen, durch das Vorschreiben solcher Anforderungen bedenklich behindert werden können?
20. Das vorlegende Gericht schildert den Hintergrund seiner Fragen folgendermaßen:
a) Die Fähigkeiten der SND, ihnen zur Verfügung gestellte Massen-Telekommunikationsdaten zu nutzen, sind für den Schutz der nationalen Sicherheit des Vereinigten Königreichs, u. a. auf dem Gebiet der Terrorismusbekämpfung, der Spionagebekämpfung und der Bekämpfung der nuklearen Proliferation, wesentlich.
b) Ein wesentliches Merkmal der Nutzung dieser Daten durch die SND besteht darin, zuvor unbekannte Bedrohungen der nationalen Sicherheit mittels nicht zielgerichteter Massen-Techniken zu entdecken, die sich auf das Sammeln dieser Daten an einem Ort stützen. Ihr Hauptnutzen liegt in der schnellen Zielidentifizierung und ‑entwicklung sowie in der Bereitstellung einer Grundlage für das Tätigwerden im Fall einer unmittelbaren Bedrohung.
c) Der Betreiber eines elektronischen Kommunikationsnetzwerks ist danach nicht verpflichtet, Massen-Telekommunikationsdaten (über die Dauer ihrer gewöhnlichen geschäftlichen Bedürfnisse hinaus) zu speichern, die vielmehr allein vom Staat (den SND) gespeichert werden.
d) Das nationale Gericht hat (vorbehaltlich bestimmter noch zu prüfender Fragestellungen) festgestellt, dass die Schutzmaßnahmen hinsichtlich der Nutzung dieser Daten durch die SND mit den Anforderungen der EMRK in Einklang stehen.
e) Das nationale Gericht hat festgestellt, dass es die Maßnahmen, die von den SND zur Gewährleistung der nationalen Sicherheit ergriffen werden, durchkreuzen und damit die nationale Sicherheit des Vereinigten Königreichs gefährden würde, wenn die im Urteil Tele2 Sverige und Watson spezifizierten Anforderungen, sollten sie anwendbar sein, vorgeschrieben würden.
III. Verfahren vor dem Gerichtshof
21. Das Vorabentscheidungsersuchen ist am 31. Oktober 2017 beim Gerichtshof eingegangen.
22. Die deutsche, die belgische, die britische, die tschechische, die zyprische, die spanische, die estnische, die französische, die ungarische, die irische, die lettische, die niederländische, die norwegische, die polnische, die portugiesische und die schwedische Regierung sowie die Kommission haben schriftliche Erklärungen eingereicht.
23. An der mündlichen Verhandlung vom 9. September 2019, die gemeinsam mit der in den Rechtssachen C‑511/18, C‑512/18 und C‑520/18 durchgeführt wurde, haben die Partien der vier Vorabentscheidungsverfahren, die oben genannten Regierungen sowie die Kommission und der Europäische Datenschutzbeauftragte teilgenommen.
IV. Würdigung
A. Zum Geltungsbereich der Richtlinie 2002/58 und zum Ausschluss der nationalen Sicherheit (erste Vorlagefrage)
24. In den Schlussanträgen, die ich heute in den Rechtssachen C‑511/18 und C‑512/18 vorlege, erläutere ich die Gründe, weshalb meines Erachtens die Richtlinie 2002/58 „grundsätzlich zur Anwendung kommt, wenn die Betreiber elektronischer Kommunikationsdienste gesetzlich verpflichtet sind, die Daten ihrer Teilnehmer zu speichern und den Behörden Zugang zu gewähren. Dass diese Pflichten den Betreibern aus Gründen der nationalen Sicherheit auferlegt werden, ändert daran nichts.“(15)
25. Im Rahmen meiner Argumentation gehe ich auf die Auswirkungen der Urteile des Gerichtshofs vom 30. Mai 2006, Parlament/Rat und Kommission(16), und Tele2 Sverige und Watson ein, wobei ich eine integrative Auslegung beider Urteile befürworte(17).
26. In diesen Schlussanträgen prüfe ich, nachdem ich festgestellt habe, dass die Richtlinie 2002/58 anwendbar ist, den dort vorgesehenen Ausschluss der nationalen Sicherheit und die Auswirkungen von Art. 4 Abs. 2 EUV(18).
27. Unbeschadet meiner weiteren Ausführungen verweise ich auf die genannten Schlussanträge und die Schlussanträge in der Rechtssache C‑520/18.
1. Anwendung der Richtlinie 2002/58 in der vorliegenden Rechtssache
28. Mit den im vorliegenden Rechtsstreit streitigen Vorschriften wird den Anbietern elektronischer Kommunikationsdienste eine Pflicht auferlegt, die Daten, in deren Besitz sie wegen der Dienstleistung sind, die sie an die Nutzer öffentlicher Kommunikationsnetze der Union erbringen, nicht nur zu speichern, sondern auch zu verarbeiten(19).
29. Die Betreiber müssen diese Daten nämlich zwingend an die SND übermitteln. Fraglich ist hier, ob Art. 15 Abs. 1 der Richtlinie 2002/58 gestattet, dass diese Übermittlung in Anbetracht ihres Ziels ohne Weiteres vom Unionsrecht ausgenommen wird.
30. Das glaube ich nicht. Die Speicherung der genannten Daten und ihre Weitergabe lassen sich als Verarbeitung personenbezogener Daten durch Betreiber elektronischer Kommunikationsdienste einstufen, weshalb sie selbstverständlich in den Geltungsbereich der Richtlinie 2002/58 fallen.
31. Gründe der nationalen Sicherheit können nicht, wie das vorlegende Gericht vorschlägt, dieser Feststellung vorgehen, was bedeuten würde, dass die streitige Pflicht nicht in den Anwendungsbereich des Unionsrechts fiele. Ich wiederhole, dass meines Erachtens den Betreibern eine Verarbeitung von Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union vorgeschrieben wird, was gerade der Geltungsbereich der Richtlinie 2002/58 ist, wie aus ihrem Art. 3 Abs. 1 hervorgeht.
32. Von dieser Prämisse ausgehend verlagert sich die Diskussion nicht auf die Tätigkeiten der SND (die sich, worauf ich zuvor hingewiesen habe, außerhalb des Unionsrechts befinden könnten, wenn sie nicht die Betreiber elektronischer Kommunikation beträfen), sondern auf die Speicherung und die spätere Weitergabe der im Besitz dieser Betreiber befindlichen Daten. Aus dieser Perspektive stehen die von der Union garantierten Grundrechte auf dem Spiel.
33. Der Schlüsselfaktor für die Lösung dieser Debatte ist einmal mehr die Pflicht zur allgemeinen und unterschiedslosen Speicherung der Daten, zu denen den Behörden Zugang gewährt wird.
2. Berufung auf die nationale Sicherheit
34. Da das vorlegende Gericht in dieser Rechtssache besonderen Nachdruck auf die die nationale Sicherheit betreffenden Tätigkeiten der SND legt, erlaube ich mir, einige Nummern meiner heutigen Schlussanträge in den Rechtssachen C‑511/18 und C‑512/18 zu diesem Thema wiederzugeben:
„77. Die nationale Sicherheit … wird in der Richtlinie 2002/58 in zweifacher Hinsicht berücksichtigt. Zum einen stellt sie einen Grund für den Ausschluss (vom Geltungsbereich dieser Richtlinie) aller Tätigkeiten der Mitgliedstaaten ‚betreffend‘ die Sicherheit des Staates dar. Zum anderen ist sie Grund für eine per Gesetz umzusetzende Beschränkung der in der Richtlinie 2002/58 festgelegten Rechte und Pflichten, d. h. von Tätigkeiten privater oder gewerblicher Art außerhalb des Bereichs der hoheitlichen Tätigkeiten.
78. Auf welche Tätigkeiten bezieht sich Art. 1 Abs. 3 der Richtlinie 2002/58? Meiner Überzeugung nach führt der Conseil d’État (Staatsrat) selbst ein gutes Beispiel an, wenn er die Art. L. 851‑5 und L. 851‑6 des Gesetzbuchs über innere Sicherheit nennt und auf ‚unmittelbar vom Staat umgesetzte Techniken zur Sammlung von Informationen, ohne die Tätigkeiten der Anbieter elektronischer Kommunikationsdienste zu regeln und ihnen spezielle Pflichten aufzuerlegen‘ …, verweist.
79. Meiner Ansicht nach ist dies der Schlüssel zur Bestimmung des Umfangs der Ausschlussklausel in Art. 1 Abs. 3 der Richtlinie 2002/58. Tätigkeiten zum Schutz der nationalen Sicherheit, die von den Behörden, ohne die Unterstützung durch Privatpersonen anzufordern und somit ohne ihnen Verpflichtungen bei der Unternehmensführung aufzuerlegen, auf eigene Rechnung durchgeführt werden, fallen nicht unter diese Richtlinie.
80. Die Liste der Tätigkeiten der Behörden, die von der allgemeinen Regelung für die Verarbeitung personenbezogener Daten ausgenommen sind, ist eng auszulegen. Konkret darf der Begriff der nationalen Sicherheit, für die nach Art. 4 Abs. 2 EUV jeder Mitgliedstaat allein verantwortlich ist, nicht auf andere, näher oder weiter entfernte Bereiche des öffentlichen Lebens ausgedehnt werden.
…
82. Meines Erachtens lässt sich … das Kriterium des Rahmenbeschlusses 2006/960/JI … heranziehen, dessen Art. 2 Buchst. a zwischen Strafverfolgungsbehörden im weiteren Sinne (‚eine nationale Polizei‑, Zoll- oder sonstige Behörde, die nach nationalem Recht befugt ist, Straftaten oder kriminelle Aktivitäten aufzudecken, zu verhüten und aufzuklären und in Verbindung mit diesen Tätigkeiten öffentliche Gewalt auszuüben und Zwangsmaßnahmen zu ergreifen‘) einerseits und den ‚Behörden oder Stellen, die sich speziell mit Fragen der nationalen Sicherheit befassen‘, andererseits unterscheidet …
…
84. Zwischen der Richtlinie 95/46 und der Richtlinie 2002/58 besteht in Bezug auf die Zuständigkeiten der Mitgliedstaaten im Bereich der nationalen Sicherheit … eine Kontinuität. Keine der beiden Richtlinien bezweckt den Schutz der Grundrechte in diesem speziellen Bereich, in dem die Tätigkeiten der Mitgliedstaaten ‚nicht unter das [Unions]recht fallen‘.
85. Das im 11. Erwägungsgrund genannte ‚Gleichgewicht‘ ergibt sich aus der Notwendigkeit, die Zuständigkeit der Mitgliedstaaten in Fragen der nationalen Sicherheit zu achten, wenn sie diese unmittelbar und mit eigenen Mitteln ausüben. Wenn es hingegen, auch aus den gleichen Gründen der nationalen Sicherheit, der Unterstützung durch Privatpersonen, denen bestimmte Verpflichtungen auferlegt werden, bedarf, dann ist ein Bereich (die Pflicht dieser Privatpersonen zum Schutz der Privatsphäre) betroffen, der dem Unionsrecht unterliegt.
86. Sowohl die Richtlinie 95/46 als auch die Richtlinie 2002/58 wollen dieses Gleichgewicht erzielen, indem sie in Art. 13 Abs. 1 bzw. Art. 15 Abs. 1 eine Einschränkung der Rechte von Einzelpersonen durch Rechtsvorschriften der Mitgliedstaaten zulassen. Insoweit gibt es keinen Unterschied zwischen den beiden Richtlinien.
…
89. Die Bestimmung dieser Tätigkeiten der öffentlichen Gewalt muss zwangsläufig restriktiv erfolgen, da andernfalls den Unionsvorschriften zum Schutz der Privatsphäre die Wirksamkeit genommen würde. Art. 23 der Verordnung 2016/679 sieht – im Einklang mit Art. 15 Abs. 1 der Richtlinie 2002/58 – vor, dass die in der Verordnung festgelegten Pflichten und Rechte im Wege von Gesetzgebungsmaßnahmen beschränkt werden können, wenn dies u. a. zur Sicherstellung der nationalen Sicherheit, der Landesverteidigung oder der öffentlichen Sicherheit erforderlich ist. Auch hier wäre, wenn der Schutz dieser Ziele für einen Ausschluss vom Anwendungsbereich der Verordnung 2016/679 ausreichen würde, die Berufung auf die nationale Sicherheit als Rechtfertigung für die Beschränkung der durch die Verordnung garantierten Rechte im Wege von Gesetzgebungsmaßnahmen überflüssig.“
3. Folgen der Anwendung des Urteils Tele2 Sverige und Watson auf den vorliegenden Fall
35. Das vorlegende Gericht hat sich auf die vom Gerichtshof im Urteil Tele2 Sverige und Watson vorgenommene Auslegung konzentriert und die Schwierigkeiten beschrieben, die ihre Heranziehung im vorliegenden Fall seines Erachtens mit sich bringt.
36. Im Urteil Tele2 Sverige und Watson werden nämlich die Voraussetzungen genannt, die eine nationale Regelung, mit der die Pflicht eingeführt wird, Verkehrs- und Standortdaten zu speichern, erfüllen muss, damit die Behörden später Zugang zu ihnen haben können.
37. Ebenso wie in den Rechtssachen C‑511/18 und C‑512/18 und aus ähnlichen Gründen bin ich der Meinung, dass die nationalen Vorschriften, um die es vorliegend geht, nicht die im Urteil Tele2 Sverige und Watson aufgestellten Voraussetzungen erfüllen, da sie eine allgemeine und unterschiedslose Speicherung personenbezogener Daten vorsehen, die einen detaillierten Bericht über das Leben der betroffenen Personen über eine längere Zeit ermöglicht.
38. In den Schlussanträgen in den beiden genannten Rechtssachen frage ich mich, ob es möglich wäre, die in diesem Urteil dargelegte Rechtsprechung wegen ihrer Folgen für die Terrorismusbekämpfung oder für den Schutz des Staates vor anderen ähnlichen Bedrohungen der nationalen Sicherheit zu nuancieren oder zu vervollständigen.
39. Ich erlaube mir auch an dieser Stelle, einige Nummern dieser Schlussanträge wiederzugeben, in denen ich im Kern die Auffassung vertrete, dass diese Rechtsprechung, da es möglich ist, sie zu nuancieren, im Wesentlichen zu bestätigen ist:
„135. Es ist zwar schwierig, aber nicht unmöglich, die Kategorien von Daten, deren Speicherung als erforderlich angesehen wird, und den Kreis der betroffenen Personen nach objektiven Kriterien präzise festzulegen. Am praktischsten und effizientesten wäre sicherlich die allgemeine und unterschiedslose Speicherung aller Daten, die von den Betreibern elektronischer Kommunikationsdienste erhoben werden können, doch [muss] über diese Frage nicht anhand der tatsächlichen Effizienz, sondern anhand der rechtlichen Effizienz im Rahmen eines Rechtsstaats entschieden werden …
136. Für diese Feststellung ist – innerhalb der in der Rechtsprechung des Gerichtshofs vorgegebenen Grenzen – in der Regel der Gesetzgeber zuständig. …
137. Unter der Voraussetzung, dass die Betreiber die Daten in einer der Richtlinie 2002/58 entsprechenden Art und Weise erhoben haben und dass die Speicherung gemäß Art. 15 Abs. 1 erfolgt ist …, dürfen die zuständigen Behörden unter den Bedingungen, die der Gerichtshof genannt hat und die ich in meinen Schlussanträgen in der Rechtssache C‑520/18, auf die ich mich beziehe, analysiere, auf diese Informationen zugreifen.
138. Auch im vorliegenden Fall muss die nationale Regelung die materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den auf Vorrat gespeicherten Daten festlegen … Im Kontext dieser Vorabentscheidungsersuchen müssten diese Voraussetzungen den Zugang zu den Daten von Personen ermöglichen, die im Verdacht stehen, eine terroristische Straftat zu planen, zu begehen oder begangen zu haben oder in eine solche Straftat verwickelt zu sein …
139. Es ist also unabdingbar, dass der Zugang zu den entsprechenden Daten – außer in hinreichend begründeten Eilfällen – einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle, deren Entscheidung auf einen mit Gründen versehenen Antrag der zuständigen Behörden ergeht, unterworfen wird... Dort, wo eine abstrakte Überprüfung durch das Gesetz nicht ausreicht, wird somit eine konkrete Überprüfung durch eine unabhängige Behörde gewährleistet, die gleichermaßen an die Garantie der Sicherheit des Staates und an die Verteidigung der Grundrechte der Bürger gebunden ist.“
B. Zur zweiten Vorlagefrage
40. Das vorlegende Gericht stellt seine zweite Frage für den Fall, dass die erste Frage bejaht wird. In diesem Fall möchte es wissen, welche „andere Anforderung zusätzlich zu den in der EMRK aufgestellten“ oder den sich aus dem Urteil Tele2 Sverige und Watson ergebenden verlangt werden müsste.
41. Hierzu führt es aus, dass es die „Maßnahmen, die von den SND zur Gewährleistung der nationalen Sicherheit ergriffen werden, durchkreuzen würde“, wenn die Anforderungen des Urteils Tele2 Sverige und Watson vorgeschrieben würden.
42. Da ich vorschlage, die erste Frage zu verneinen, ist es nicht unbedingt notwendig, auf die zweite Frage einzugehen. Diese hängt, wie das vorlegende Gericht selbst hervorhebt, davon ab, dass „der Erwerb großer Datenmengen und Techniken automatisierter [Verarbeitung]“ der personenbezogenen Daten aller Nutzer des Vereinigten Königreichs, die die Betreiber elektronischer Kommunikationsdienste an die SND übermitteln müssen, für mit dem Unionsrecht vereinbar erklärt werden.
43. Sollte der Gerichtshof es für unabdingbar halten, die zweite Frage zu beantworten, sollte er meines Erachtens die genannten Voraussetzungen des Urteils Tele2 Sverige und Watson in Bezug auf
– das Verbot des generellen Zugangs zu den Daten,
– das Erfordernis der vorherigen Genehmigung durch ein Gericht oder eine unabhängige Stelle, um diesen Zugang zu legitimieren,
– die Pflicht, die Betroffenen zu informieren, außer wenn dadurch die Wirksamkeit der Maßnahme beeinträchtigt würde, und
– die Speicherung der Daten in der Union
bestätigen.
44. Ich wiederhole, dass es genügen würde, diese zwingend anwendbaren Voraussetzungen aus den Gründen, die ich in den Schlussanträgen in den Rechtssachen C‑511/18 und C‑512/18 und C‑520/18 dargelegt habe, zu bestätigen, ohne dass es notwendig wäre, „weitere“ festzulegen, wie das vorlegende Gericht meint.
V. Ergebnis
45. Nach alledem schlage ich dem Gerichtshof vor, die Fragen des Investigatory Powers Tribunal (Gericht für Ermittlungsbefugnisse, Vereinigtes Königreich) wie folgt zu beantworten:
Art. 4 EUV und Art. 1 Abs. 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) sind dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, die einem Betreiber elektronischer Kommunikationsnetze die Pflicht auferlegt, den Sicherheits- und Nachrichtendiensten eines Mitgliedstaats die „Massen-Telekommunikationsdaten“ zur Verfügung zu stellen, was die vorherige allgemeine und unterschiedslose Erhebung dieser Daten voraussetzt.
Hilfsweise:
Der Zugang seitens der Sicherheits- und Nachrichtendienste eines Mitgliedstaats zu Daten, die von den Betreibern elektronischer Kommunikationsnetze übermittelt werden, muss die im Urteil vom 21. Dezember 2016, Tele2 Sverige und Watson (C‑203/15 und C‑698/15, EU:C:2016:970), aufgestellten Voraussetzungen erfüllen.