Language of document : ECLI:EU:C:2024:370

Rechtssache C470/21

La Quadrature du Net
und
Fédération des fournisseurs d’accès à Internet associatifs
und
Franciliens.net und French Data Network

gegen

Premier ministre
und
Ministère de la Culture

(Vorabentscheidungsersuchen des Conseil d’État [Staatsrat, Frankreich])

 Urteil des Gerichtshofs (Plenum) vom 30. April 2024

„Vorlage zur Vorabentscheidung – Verarbeitung personenbezogener Daten und Schutz der Privatsphäre in der elektronischen Kommunikation – Richtlinie 2002/58/EG – Vertraulichkeit der elektronischen Kommunikation – Schutz – Art. 5 und Art. 15 Abs. 1 – Charta der Grundrechte der Europäischen Union – Art. 7, 8 und 11 sowie Art. 52 Abs. 1 – Nationale Rechtsvorschriften, mit denen im Internet begangene Nachahmungen durch Maßnahmen einer Behörde bekämpft werden sollen – Verfahren der ‚abgestuften Reaktion‘ – Vorgelagerte Erfassung von IP‑Adressen, die für Aktivitäten genutzt werden, die Urheberrechte oder verwandte Schutzrechte verletzen, durch Einrichtungen der Rechteinhaber – Nachgelagerter Zugang der mit dem Schutz der Urheberrechte und verwandten Schutzrechte betrauten Behörde zu Identitätsdaten, die diesen von den Betreibern elektronischer Kommunikationsdienste auf Vorrat gespeicherten IP‑Adressen zuzuordnen sind – Automatisierte Verarbeitung – Erfordernis einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle – Materielle und prozedurale Voraussetzungen – Garantien zum Schutz vor Missbrauchsgefahren sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung“

1.        Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Begriff der Verarbeitung personenbezogener Daten – Sammlung der IPAdressen von Nutzern eines Peer-to-Peer-Netzes durch Einrichtungen der Rechteinhaber zur Verwendung in Verwaltungs- oder Gerichtsverfahren – Einbeziehung

(Verordnung 2016/679 des Europäischen Parlaments und des Rates, Art. 4 Nr. 2 und Art. 6 Abs. 1 Unterabs. 1 Buchst. f)

(vgl. Rn. 54, 60-62)

2.        Rechtsangleichung – Telekommunikationssektor – Verarbeitung personenbezogener Daten und Schutz der Privatsphäre in der elektronischen Kommunikation – Richtlinie 2002/58 – Geltungsbereich – Abgleich der gesammelten IPAdressen mit deren Inhabern durch die Betreiber elektronischer Kommunikationsdienste zur Verwendung dieser Daten in Verwaltungs- oder Gerichtsverfahren – Einbeziehung

(Richtlinie 2002/58 des Europäischen Parlaments und des Rates in der durch die Richtlinie 2009/136 geänderten Fassung, Art. 3)

(vgl. Rn. 55, 63)

3.        Rechtsangleichung – Telekommunikationssektor – Verarbeitung personenbezogener Daten und Schutz der Privatsphäre in der elektronischen Kommunikation – Richtlinie 2002/58 – Befugnis der Mitgliedstaaten, bestimmte Rechte und Pflichten zu beschränken – Nationale Regelung, die eine allgemeine und unterschiedslose Vorratsspeicherung von Identitätsdaten vorsieht, die IPAdressen zuzuordnen sind – Ziel der Bekämpfung von Straftaten im Allgemeinen – Zulässigkeit – Voraussetzungen – Pflicht eines Mitgliedstaats, strenge Anforderungen an die Speichermodalitäten der genannten Daten vorzusehen

(Charta der Grundrechte der Europäischen Union, Art. 7, 8, 11 und Art. 52 Abs. 1; Richtlinie 2002/58 des Europäischen Parlaments und des Rates in der durch die Richtlinie 2009/136 geänderten Fassung, Art. 15 Abs. 1)

(vgl. Rn. 65-70, 73-93)

4.        Rechtsangleichung – Telekommunikationssektor – Verarbeitung personenbezogener Daten und Schutz der Privatsphäre in der elektronischen Kommunikation – Richtlinie 2002/58 – Befugnis der Mitgliedstaaten, bestimmte Rechte und Pflichten zu beschränken – Nationale Regelung, mit der einer Behörde Zugang zu Identitätsdaten, die IPAdressen zuzuordnen sind, gewährt wird – Regelung, die zur Bekämpfung im Internet begangener Verletzungen des Urheberrechts und verwandter Schutzrechte dient – Zulässigkeit – Voraussetzungen

(Charta der Grundrechte der Europäischen Union, Art. 7, 8, 11 und Art. 52 Abs. 1; Richtlinie 2002/58 des Europäischen Parlaments und des Rates in der durch die Richtlinie 2009/136 geänderten Fassung, Art. 15 Abs. 1)

(vgl. Rn. 95-104, 110-114, 116-119, 122, 164 und Tenor)

5.        Rechtsangleichung – Telekommunikationssektor – Verarbeitung personenbezogener Daten und Schutz der Privatsphäre in der elektronischen Kommunikation – Richtlinie 2002/58 – Befugnis der Mitgliedstaaten, bestimmte Rechte und Pflichten zu beschränken – Nationale Regelung, mit der einer Behörde Zugang zu Identitätsdaten, die IPAdressen zuzuordnen sind, gewährt wird – Regelung, die zur Bekämpfung im Internet begangener Verletzungen des Urheberrechts und verwandter Schutzrechte dient – Erfordernis einer vorherigen Kontrolle des Zugangs zu den genannten Daten durch ein Gericht oder eine unabhängige Verwaltungsstelle – Umfang – Modalitäten dieser vorherigen Kontrolle

(Charta der Grundrechte der Europäischen Union, Art. 7, 8, 11 und Art. 52 Abs. 1; Richtlinie 2002/58 des Europäischen Parlaments und des Rates in der durch die Richtlinie 2009/136 geänderten Fassung, Art. 15 Abs. 1)

(vgl. Rn. 124-143, 145, 146, 148-151, 164 und Tenor)

6.        Rechtsangleichung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts – Richtlinie 2016/680 – Anwendungsbereich – Behördenbegriff – Nationale Behörde ohne Entscheidungsbefugnisse, die mit der Warnung von Personen betraut ist, die im Verdacht stehen, Straftaten begangen zu haben – Einbeziehung – Anwendbarkeit der materiellen und prozeduralen Garantien

(Richtlinie 2016/680 des Europäischen Parlaments und des Rates, Art. 3)

(vgl. Rn. 157-163)

Zusammenfassung

In den letzten Jahren hatte der Gerichtshof mehrmals über die Vorratsspeicherung von und den Zugang zu personenbezogenen Daten im Bereich der elektronischen Kommunikation zu befinden, so dass es dazu eine umfangreiche Rechtsprechung gibt(1). Aufgrund eines Vorabentscheidungsersuchens des Conseil d’État (Staatsrat, Frankreich) hat das Plenum des Gerichtshofs diese Rechtsprechung fortentwickelt und Klarstellungen zum einen zu den Voraussetzungen vorgenommen, unter denen davon ausgegangen werden kann, dass eine allgemeine Vorratsspeicherung von IP‑Adressen durch die Betreiber elektronischer Kommunikationsdienste nicht zu einem schweren Eingriff in die durch die Charta gewährleisteten Rechte auf Achtung des Privatlebens, auf den Schutz personenbezogener Daten und auf freie Meinungsäußerung(2) führt, und zum anderen zu der Möglichkeit einer Behörde, im Rahmen der Bekämpfung online begangener Verletzungen der Rechte des geistigen Eigentums Zugang zu bestimmten personenbezogenen Daten zu erhalten, die unter Einhaltung dieser Voraussetzungen auf Vorrat gespeichert wurden.

Im vorliegenden Fall haben vier Verbände beim Premier ministre (Premierminister, Frankreich) einen Antrag auf Aufhebung des Dekrets über die automatisierte Verarbeitung personenbezogener Daten(3) gestellt. Da ihr Antrag implizit abgelehnt wurde, erhoben sie beim Conseil d’État (Staatsrat, Frankreich) Klage auf Nichtigerklärung dieser impliziten ablehnenden Entscheidung. Sie machen geltend, das Dekret und die Bestimmungen, die seine Rechtsgrundlage bildeten(4), verstießen gegen das Unionsrecht.

Nach den französischen Rechtsvorschriften darf die Haute autorité pour la diffusion des œuvres et la protection des droits sur internet (Hohe Behörde für die Verbreitung von Werken und den Schutz von Rechten im Internet, Hadopi), um die Verantwortlichen für online begangene Verletzungen des Urheberrechts oder verwandter Schutzrechte identifizieren zu können, auf bestimmte Daten zugreifen, die von den Betreibern elektronischer Kommunikationsdienste auf Vorrat gespeichert werden müssen. Dabei handelt es sich um die Identitätsdaten einer Person, die ihrer zuvor von Einrichtungen der Rechteinhaber gesammelten IP‑Adresse zuzuordnen sind. Sobald der Inhaber einer für solche rechtsverletzende Aktivitäten genutzten IP‑Adresse identifiziert wurde, führt die Hadopi das Verfahren der „abgestuften Reaktion“ durch. Konkret ist sie befugt, an diese Person zwei Empfehlungen zu richten, die Warnungen gleichkommen, und, falls die Aktivitäten fortdauern, ein Schreiben, in dem ihr mitgeteilt wird, dass ihre Aktivitäten strafrechtlich verfolgt werden können. Schließlich ist die Hadopi berechtigt, die Staatsanwaltschaft mit der Verfolgung dieser Person zu befassen(5).

In diesem Kontext ersucht der Conseil d’État (Staatsrat) den Gerichtshof um die Auslegung der Datenschutzrichtlinie für elektronische Kommunikation im Licht der Charta(6).

Würdigung durch den Gerichtshof

Erstens hebt der Gerichtshof hinsichtlich der Vorratsspeicherung von Identitätsdaten und der ihnen zuzuordnenden IP‑Adressen hervor, dass nicht jede allgemeine und unterschiedslose Vorratsspeicherung von IP‑Adressen zwangsläufig einen schweren Eingriff in die durch die Charta garantierten Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf freie Meinungsäußerung darstellt.

Die Pflicht, eine solche Vorratsspeicherung sicherzustellen, kann durch das Ziel der Bekämpfung von Straftaten im Allgemeinen gerechtfertigt sein, wenn tatsächlich ausgeschlossen ist, dass diese Speicherung schwere Eingriffe in das Privatleben des Betroffenen zur Folge haben kann, die darauf beruhen, dass insbesondere durch eine Verknüpfung der IP‑Adressen mit einem Satz von Verkehrs- oder Standortdaten die Möglichkeit besteht, genaue Schlüsse in Bezug auf ihn zu ziehen.

Daher muss sich ein Mitgliedstaat, der den Betreibern elektronischer Kommunikationsdienste eine solche Pflicht auferlegen möchte, vergewissern, dass die Modalitäten der Vorratsspeicherung dieser Daten ausschließen, dass genaue Schlüsse auf das Privatleben der Betroffenen gezogen werden können.

Dabei müssen die Modalitäten der Vorratsspeicherung deren Struktur selbst betreffen, die im Wesentlichen so gestaltet sein muss, dass eine wirksame strikte Trennung der verschiedenen Kategorien auf Vorrat gespeicherter Daten gewährleistet ist. Somit müssen die nationalen Vorschriften über diese Modalitäten sicherstellen, dass jede Datenkategorie, einschließlich der Identitätsdaten und der IP-Adressen, völlig getrennt von den übrigen Kategorien auf Vorrat gespeicherter Daten gespeichert wird und dass eine wirksame strikte Trennung durch eine abgesicherte und zuverlässige Datenverarbeitungseinrichtung stattfindet. Außerdem dürfen die Regeln, soweit sie die Möglichkeit vorsehen, die auf Vorrat gespeicherten IP‑Adressen mit der Identität des Betroffenen zu verknüpfen, eine solche Verknüpfung nur unter Verwendung eines leistungsfähigen technischen Verfahrens erlauben, das die Wirksamkeit der strikten Trennung dieser Datenkategorien nicht in Frage stellt. Die Zuverlässigkeit der Trennung muss regelmäßig Gegenstand einer Kontrolle durch eine dritte Behörde sein. Soweit im anwendbaren nationalen Recht solche strengen Anforderungen vorgesehen sind, kann der Eingriff, der sich aus dieser Speicherung der IP‑Adressen ergibt, nicht als „schwer“ eingestuft werden.

Der Gerichtshof kommt daher zu dem Ergebnis, dass die Datenschutzrichtlinie für elektronische Kommunikation im Licht der Charta einen Mitgliedstaat nicht daran hindert, mit dem Ziel der Bekämpfung von Straftaten im Allgemeinen eine Pflicht zur allgemeinen und unterschiedslosen Vorratsspeicherung von IP‑Adressen aufzustellen, sofern es eine gesetzliche Regelung gibt, die gewährleistet, dass keine Kombination von Daten genaue Schlüsse auf das Privatleben der Personen, deren Daten gespeichert werden, zulassen wird, und sofern die Dauer der Speicherung nicht über das absolut Notwendige hinausgeht.

Zweitens entscheidet der Gerichtshof in Bezug auf den Zugang zu Identitätsdaten, die IP‑Adressen zuzuordnen sind, dass die Datenschutzrichtlinie für elektronische Kommunikation im Licht der Charta grundsätzlich einer nationalen Regelung nicht entgegensteht, mit der einer Behörde Zugang zu diesen Daten, die von den Betreibern elektronischer Kommunikationsdienste wirksam strikt getrennt auf Vorrat gespeichert wurden, allein deshalb gewährt wird, damit die Behörde die Inhaber dieser Adressen identifizieren kann, die im Verdacht stehen, für Verletzungen des Urheberrechts und verwandter Schutzrechte im Internet verantwortlich zu sein, und Maßnahmen gegen sie ergreifen kann. In einem solchen Fall muss die nationale Regelung es den Bediensteten, die über einen solchen Zugang verfügen, untersagen, erstens Informationen über den Inhalt der von den Inhabern der IP‑Adressen konsultierten Dateien – außer zum alleinigen Zweck der Befassung der Staatsanwaltschaft – in welcher Form auch immer offenzulegen, zweitens die von diesen Personen besuchten Internetseiten nachzuverfolgen und drittens die IP‑Adressen zu anderen Zwecken als dem des Erlasses derartiger Maßnahmen zu nutzen.

In diesem Kontext weist der Gerichtshof insbesondere darauf hin, dass die Freiheit der Meinungsäußerung und die Vertraulichkeit personenbezogener Daten zwar vorrangige Anliegen sind, doch sind diese Grundrechte nicht absolut. Im Rahmen einer Abwägung der in Rede stehenden Rechte und Interessen müssen sie nämlich bisweilen hinter anderen Grundrechten und Erfordernissen des Allgemeininteresses wie der Verteidigung der öffentlichen Ordnung und der Verhütung von Straftaten oder dem Schutz der Rechte und Freiheiten anderer zurücktreten. Dies ist insbesondere dann der Fall, wenn die diesen vorrangigen Anliegen beigemessene Priorität geeignet ist, die Wirksamkeit strafrechtlicher Ermittlungen zu beeinträchtigen, etwa indem die tatsächliche Identifizierung eines Straftäters und die Verhängung einer Sanktion gegen ihn unmöglich gemacht oder übermäßig erschwert werden.

Im gleichen Kontext verweist der Gerichtshof ferner auf seine Rechtsprechung, wonach bei der Bekämpfung online begangener Straftaten, mit denen Urheberrechte oder verwandte Schutzrechte verletzt werden, der Umstand, dass der Zugang zu den IP‑Adressen die einzige Ermittlungsmaßnahme darstellen kann, die eine Identifizierung der betreffenden Person ermöglicht, dafür spricht, dass die Vorratsspeicherung dieser Adressen und der Zugang zu ihnen zur Erreichung des verfolgten Ziels zwingend erforderlich sind und daher dem Erfordernis der Verhältnismäßigkeit entsprechen. Würde ein solcher Zugang nicht gewährt, bestünde im Übrigen eine echte Gefahr der systemischen Straflosigkeit von Straftaten, die online begangen werden oder deren Begehung oder Vorbereitung durch die Merkmale des Internets erleichtert wird. Das Bestehen einer solchen Gefahr ist ein relevanter Umstand, wenn im Rahmen einer Abwägung der verschiedenen betroffenen Rechte und Interessen beurteilt wird, ob ein Eingriff in die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf freie Meinungsäußerung eine gemessen am Ziel der Bekämpfung von Straftaten verhältnismäßige Maßnahme ist.

Drittens führt der Gerichtshof zu der Frage, ob der Zugang der Behörde zu Identitätsdaten, die einer IP‑Adresse zuzuordnen sind, von einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle abhängig gemacht werden muss, aus, dass eine solche Kontrolle geboten ist, wenn dieser Zugang im Kontext einer nationalen Regelung die Gefahr eines schweren Eingriffs in die Grundrechte des Betroffenen in dem Sinne birgt, dass er es der Behörde ermöglichen könnte, genaue Schlüsse auf das Privatleben des Betroffenen zu ziehen und gegebenenfalls sein detailliertes Profil zu erstellen. Umgekehrt besteht dieses Erfordernis einer vorherigen Kontrolle nicht, wenn der Eingriff in die Grundrechte nicht als schwerwiegend eingestuft werden kann.

Insoweit stellt der Gerichtshof klar, dass dann, wenn eine Vorratsspeicherung eingeführt wird, die eine wirksame strikte Trennung der verschiedenen Kategorien auf Vorrat gespeicherter Daten gewährleistet, der Zugang der Behörde zu den Identitätsdaten, die IP‑Adressen zuzuordnen sind, im Prinzip nicht vom Erfordernis einer vorherigen Kontrolle abhängt. Ein solcher Zugang allein zu dem Zweck, den Inhaber einer IP‑Adresse zu identifizieren, stellt nämlich in der Regel keinen schweren Eingriff in die genannten Rechte dar.

Der Gerichtshof schließt jedoch nicht aus, dass in atypischen Situationen die Gefahr besteht, dass die Behörde in einem Verfahren wie dem im Ausgangsverfahren in Rede stehenden Verfahren der abgestuften Reaktion genaue Schlüsse auf das Privatleben der betreffenden Person ziehen könnte, insbesondere wenn diese Person wiederholt oder in großem Umfang in Peer-to-Peer-Netzen Aktivitäten, die Urheberrechte oder verwandte Schutzrechte verletzen, im Zusammenhang mit geschützten Werken besonderer Arten entfaltet, durch die Informationen, unter Umständen sensibler Art, über das Privatleben dieser Person offenbar werden können.

Im vorliegenden Fall kann ein Inhaber einer IP‑Adresse in besonderem Maß einer solchen Gefahr ausgesetzt sein, wenn die Behörde darüber zu entscheiden hat, ob sie die Staatsanwaltschaft mit seiner Verfolgung befasst. Die Intensität der Verletzung des Rechts auf Achtung des Privatlebens kann nämlich allmählich zunehmen, während das Verfahren der abgestuften Reaktion, das als sequentieller Prozess abläuft, die verschiedenen Stufen durchläuft, aus denen es besteht. Der Zugang der zuständigen Behörde zu allen im Lauf der verschiedenen Stufen dieses Verfahrens zusammengetragenen Daten über die betreffende Person kann es ermöglichen, genaue Schlüsse auf ihr Privatleben zu ziehen. Deshalb muss die nationale Regelung eine vorherige Kontrolle vorsehen, die erfolgen muss, bevor die Behörde die Identitätsdaten mit einem solchen Datensatz verknüpfen kann und vor der etwaigen Versendung des Notifizierungsschreibens, mit dem festgestellt wird, dass diese Person Handlungen vorgenommen hat, die strafrechtlich verfolgt werden können. Die Kontrolle muss überdies die Wirksamkeit des Verfahrens der abgestuften Reaktion wahren, indem sie es insbesondere ermöglicht, Fälle einer etwaigen Wiederholung der fraglichen Zuwiderhandlung zu identifizieren. Zu diesem Zweck muss das Verfahren so organisiert und strukturiert sein, dass die Identitätsdaten einer Person, die den zuvor im Internet gesammelten IP‑Adressen zuzuordnen sind, von den bei der zuständigen Behörde mit der Prüfung des Sachverhalts betrauten Personen nicht automatisch mit Elementen verknüpft werden können, über die die Behörde bereits verfügt und die es ermöglichen könnten, genaue Schlüsse auf das Privatleben dieser Person zu ziehen.

Zum Gegenstand der vorherigen Kontrolle stellt der Gerichtshof ferner fest, dass in Fällen, in denen die betreffende Person im Verdacht steht, eine Zuwiderhandlung begangen zu haben, die zu den Straftaten im Allgemeinen gehört, das mit dieser Kontrolle betraute Gericht oder die mit ihr betraute unabhängige Verwaltungsstelle den Zugang verweigern muss, wenn er es der Behörde erlauben würde, genaue Schlüsse auf das Privatleben der betreffenden Person zu ziehen. Dagegen sollte in Fällen, in denen die betreffende Person im Verdacht steht, Delikte begangen zu haben, in denen der betreffende Mitgliedstaat die Beeinträchtigung eines Grundinteresses der Gesellschaft sieht und die er daher der schweren Kriminalität zurechnet, auch dann ein Zugang gewährt werden, wenn er es erlaubt, solche genauen Schlüsse zu ziehen.

Der Gerichtshof stellt zudem klar, dass eine vorherige Kontrolle in keinem Fall vollständig automatisiert sein kann, da eine solche Kontrolle bei strafrechtlichen Ermittlungen eine Abwägung zwischen den berechtigten Interessen im Zusammenhang mit der Bekämpfung der Kriminalität einerseits sowie der Achtung des Privatlebens und des Schutzes personenbezogener Daten andererseits erfordert. Diese Abwägung erfordert das Tätigwerden einer natürlichen Person, das umso notwendiger ist, als der automatisierte Ablauf und der große Umfang der in Rede stehenden Datenverarbeitung Gefahren für das Privatleben mit sich bringen.

Der Gerichtshof kommt daher zu dem Ergebnis, dass die Möglichkeit für die bei der Behörde mit der Prüfung des Sachverhalts betrauten Personen, Identitätsdaten einer Person, die einer IP‑Adresse zuzuordnen sind, mit Dateien zu verknüpfen, die Elemente enthalten, denen sich der Titel geschützter Werke entnehmen lässt, deren Bereitstellung im Internet die Sammlung der IP‑Adressen durch Einrichtungen der Rechteinhaber gerechtfertigt hat, in Fällen der erneuten Entfaltung einer Aktivität, mit der dieselbe Person Urheberrechte oder verwandte Schutzrechte verletzt, von einer Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle abhängig gemacht werden muss. Diese Kontrolle darf nicht vollständig automatisiert sein und muss vor einer solchen Verknüpfung erfolgen, da diese es in derartigen Fällen ermöglichen kann, genaue Schlüsse auf das Privatleben der Person zu ziehen, deren IP‑Adresse für Aktivitäten genutzt wurde, die möglicherweise Urheberrechte oder verwandte Schutzrechte verletzen.

Viertens schließlich stellt der Gerichtshof fest, dass das von der Behörde verwendete Datenverarbeitungssystem in regelmäßigen Abständen einer Kontrolle durch eine unabhängige Stelle unterzogen werden muss, bei der es sich im Verhältnis zu dieser Behörde um einen Dritten handelt. Diese Kontrolle dient zur Überprüfung der Integrität des Systems, einschließlich wirksamer Garantien zum Schutz vor den Gefahren eines missbräuchlichen oder unberechtigten Zugangs zu den Daten und ihrer missbräuchlichen oder unberechtigten Nutzung, sowie seiner Wirksamkeit und Zuverlässigkeit bei der Aufdeckung etwaiger Verstöße.

In diesem Rahmen stellt der Gerichtshof fest, dass im vorliegenden Fall die automatisierte Verarbeitung personenbezogener Daten durch die Behörde auf der Grundlage der Informationen über die von den Einrichtungen der Rechteinhaber festgestellten Nachahmungen eine Reihe falsch positiver Ergebnisse mit sich bringen kann sowie vor allem die Gefahr, dass eine potenziell sehr große Zahl von Daten Dritter zu missbräuchlichen oder unrechtmäßigen Zwecken zweckentfremdet wird; dies erklärt die Notwendigkeit einer solchen Kontrolle.

Außerdem fügt er hinzu, dass bei dieser Verarbeitung die besonderen Vorschriften zum Schutz personenbezogener Daten der Richtlinie 2016/680(7) eingehalten werden müssen. Im vorliegenden Fall ist die Behörde, auch wenn sie im Rahmen des Verfahrens der abgestuften Reaktion nicht über eigene Entscheidungsbefugnisse verfügt, nämlich als eine an der Verhütung und Ermittlung von Straftaten beteiligte „Behörde“ einzustufen und fällt daher in den Anwendungsbereich dieser Richtlinie. Somit müssen die an einem solchen Verfahren beteiligten Personen in den Genuss einer Reihe durch die Richtlinie 2016/680 vorgeschriebener materieller und prozeduraler Garantien kommen, wobei es Sache des vorlegenden Gerichts ist, zu prüfen, ob sie in den nationalen Rechtsvorschriften vorgesehen sind.

1      Vgl. u. a. Urteile vom 21. Dezember 2016, Tele2 Sverige und Watson u. a. (C‑203/15 und C‑698/15, EU:C:2016:970), vom 2. Oktober 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788), vom 6. Oktober 2020, La Quadrature du Net u. a. (C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791), vom 2. März 2021, Prokuratuur (Voraussetzungen für den Zugang zu Daten über die elektronische Kommunikation) (C‑746/18, EU:C:2021:152), vom 17. Juni 2021, M.I.C.M. (C‑597/19, EU:C:2021:492), und vom 5. April 2022, Commissioner of An Garda Síochána u. a. (C‑140/20, EU:C:2022:258).

2      Art. 7, 8 und 11 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta).

3      Décret no 2010‑236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331‑29 du code de la propriété intellectuelle dénommé „Système de gestion des mesures pour la protection des œuvres sur Internet“ (Dekret Nr. 2010-236 vom 5. März 2010 über die nach Art. L. 331-29 des Gesetzbuchs über das geistige Eigentum gestattete automatisierte Verarbeitung personenbezogener Daten mit der Bezeichnung „System zur Verwaltung von Maßnahmen zum Schutz von Werken im Internet“) (JORF Nr. 56 vom 7. März 2010, Text Nr. 19) in der durch das Décret no 2017-924, du 6 mai 2017, relatif à la gestion des droits d’auteur et des droits voisins par un organisme de gestion de droits et modifiant le code de la propriété intellectuelle (Dekret Nr. 2017-924 vom 6. Mai 2017 über die Verwaltung von Urheberrechten und verwandten Schutzrechten durch eine Verwertungsgesellschaft und zur Änderung des Gesetzbuchs über das geistige Eigentum) (JORF Nr. 109 vom 10. Mai 2017, Text Nr. 176) geänderten Fassung.

4      Insbesondere Art. L. 331-21 Abs. 3 bis 5 des Code de la propriété intellectuelle (Gesetzbuch über das geistige Eigentum).

5      Zum 1. Januar 2022 fusionierte die Hadopi mit dem Conseil supérieur de l’audiovisuel (Aufsichtsbehörde für die audiovisuellen Medien, CSA), einer anderen unabhängigen Behörde, zur Autorité de régulation de la communication audiovisuelle et numérique (Regulierungsbehörde für die audiovisuelle und digitale Kommunikation, ARCOM). Das Verfahren der abgestuften Reaktion blieb jedoch im Wesentlichen unverändert.

6      Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. 2002, L 201, S. 37) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 (ABl. 2009, L 337, S. 11) geänderten Fassung (im Folgenden: Datenschutzrichtlinie für elektronische Kommunikation) im Licht der Art. 7, 8 und 11 sowie von Art. 52 Abs. 1 der Charta.

7      Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. 2016, L 119, S. 89).