Der so genannte „Europäische Gerichtshof“ reduziert den Schutz der Bürger vor Massenüberwachung und vor der Bildung von Bewegungsprofilen und Persönlichkeitsprofilen

EuGH_Saal_(große_Kammer_mit_13_Richter) — Quelle: Von selbst - Gregor Ter Heide, Gemeinfrei, https://commons.wikimedia.org/w/index.php?curid=11889268

LUXEMBURG – Bis zum 30.4. hatte der EuGH in ständiger Rechtsprechung als Recht erkannt, daß in der ePrivacy-Richtlinie ein Recht auf Online-Anonymität verankert sei. Seit einer neuen Entscheidung vom 30.4. sieht der selbe EuGH das nun ganz anders, wodurch der Online-Anonymität de facto ein Ende gesetzt werden dürfte, indem der EuGH den Behörden einen umfassenden Zugriff auf die mit einer IP-Adresse verbundene Identität des Internetnutzers und damit letztendlich auch auf den Inhalt seiner Kommunikation gewährt wird.

Man stelle sich vor, der Staat erhebt den Anspruch darauf, daß jeder, der zur Türe hinaus in die Öffentlichkeit geht, vom Staat gezwungen wird, dies beim Staat bekannt zu geben und in eine Liste einzutragen, denn er könnte ja in der Öffentlichkeit eine Straftat begehen! Was für den öffentlichen Raum (derzeit noch) als absurd angesehen wird, hält der Europäische Gerichtshof (EuGH) für richtig und änderte am 30.4. seine eigene Rechtsprechung in diese Richtung.

Als Grund für diese Änderung führt der EuGH an, daß andernfalls das Rechtssystem inkonsistent wäre, weil es im Internet bisher nur eine Identifizierungspflicht bei schweren Straftaten gebe und nicht bei normalen Straftaten.

Mit der selben formalistischen Argumentationsweise könnten die Richter aber in Zukunft dann auch eine Registrierungspflicht für Personen einführen, wenn diese ihr Haus verlassen. Denn wieso sollten andere Regeln für jemanden gelten, der mit Hilfe seiner IP-Adresse den virtuellen öffentlichen Raum des Internet betrifft und sich hierbei einer „Vorratsdatenspeicherung“ unterziehen muss, als für jemanden, der durch das Öffnen seiner Haustüre den realen öffentlichen Raum betrifft und sich hierbei keiner „Speicherung“ unterziehen muss? In beiden Fällen könnte der Betreffende ja Straftaten begehen, also sowohl im virtuellen, als auch im realen Raum!

Nach einem Jahrzehnt des Hin- und Her, in dem sich die europäischen Regierungen bewusst dafür entschieden haben, die zahlreichen früheren Urteile des EuGH zur Vorratsdatenspeicherung nicht zu respektieren und umzusetzen, haben die Innenminister in ganz Europa damit ihren Kampf gegen den EuGH gewonnen.

Mit dem jüngsten Urteil räumt der EuGH aber auch ein, dass er seine Rechtsprechung irgendwann ändern wird, wenn seine Urteile durch die Nationalstaaten nicht angewendet werden und aus den Regierungen der Nationalstaaten immer neue Initiativen kommen, um die Rechtsposition des EuGH asu dem Weg zu räumen.

Dies stellt eine besorgniserregende Schwächung der Autorität des Gerichtshofs gegenüber des Drucks aus den Mitgliedstaaten dar und belegt, daß der EuGH einem solchen Druck die Bürger vor ihren eigenen Regierungen zu schützen, nicht standhält.

Bei alldem stellt sich erneut die Frage auf welche Legitmimität sich der EuGH beruft. Nur Staaten haben das Recht, Recht zu sprechen. So regelt das von einer demokratisch legitimierten Bundesregierung im § 12 des GVG:

Die ordentliche Gerichtsbarkeit wird durch Amtsgerichte, Landgerichte, Oberlandesgerichte und durch den Bundesgerichtshof (den obersten Gerichtshof des Bundes für das Gebiet der ordentlichen Gerichtsbarkeit) ausgeübt.

Die EU ist aber kein Staat, sondern ein Vertragsgeflecht. Vertragsgeflechte haben keine eigene Legitimation und die EU ist deswegen auch nicht demokratisch legitimiert. Das hat zur Folge, daß sogar das Max-Planck-Institut ein ganzes Forschungsprojekt benötigt um nach der Legimimation dieser Institution EuGH und der darin beschäftigten Richter zu fahnden.

In einem aktuellen Urteil ändert der Europäische Gerichtshof (EuGH) seine eigene Rechtsprechung zur Vorratsdatenspeicherung

Das Bundesverfassungsgericht hat als Recht erkennt, daß die anlasslose Vorratsdatenspeicherung nur dann erlaubt ist, wenn diese der Bekämpfung schwerer Kriminalität diente. Dazu zählte das BVerfG beispielsweise die Verbreitung von Kinderpornografie. Am Dienstag, den 30.4. erließ der Europäische Gerichtshof (EuGH) ein Urteil, daß diese Eingriffsschwelle der „schweren“ Kriminalität nicht mehr gelte und daß die anlaßlose Speicherung von IP-Adressen von nun an zur Bekämpfung jeglicher Kriminalität möglich ist (Urt. v. 30.04.2024, Az. C-470/21).

Damit werden nun Befürchtungen wahr, die bereits bei Einführung der Vorratsdatenspeicherung geäußert worden waren und die mit dem Hinweis auf die Seite gewischt wurden, daß man ja nichts dagegen haben darf, Kinderprornographie zu bekämpfen. Nun drängt sich die Befürchtung auf, daß die angebliche Bekämpfung von Kinderprornographie nur ein Mittel zum Zweck gewesen sein könnte, den ersten Schritt in Richtung Massenüberwachung zu tätigen!

Obwohl das Bundesverfassungsgericht und auch der EuGH eine anlaßlose Vorratdsatenspeicherung ablehnten wurden Mitgliedsstaaten weiterhin aktiv diese Vorlage zu hintertreiben. Dazu gehört auch Deutschland. Dem Innenministerium unterstellte Behörden, wie das BKA, lechzen schon seit 2007 um diese Möglichkeit. Nach einem durch die britische Bürgerrechtsbewegung Statewatch veröffentlichten Dokument (Ad-hoc Working Party on Data Retention, Establishment and adoption of its Terms of Reference, Brüssel, 17.09.2020, RAT: 10772/20), wurde unter der Leitung Deutschlands im EU-Rat eine neue Arbeitsgruppe zur Vorratsdatenspeicherung eingerichtet werden, die Vorschläge für eine neue europäische Vorratsdatenspeicherung erarbeiten sollte.

Ob vor diesem Hintergrund Vorschläge erarbeitet wurden und ob die nun erkennbare Entwicklung der Rechtsprechung des EuGH eine Umsetzung eines solchen Vorschlags sein könnte, ist eine noch unbeantwortete Frage.

Die Rechtsprechung des Bundesverfassungsgerichts

Das Grundgesetz definiert in den Artikeln 1 bis 20 die eigentlichen, so genannten „Grundrechte“. Bei diesen handelt es sich um Abwehrrechte des Bürgers gegen den Staat. In seiner Rechtsprechung hat das Bundesverfassungsgericht vielfach festgestellt, daß aus dem Artikel 1.1. in Verbindung mit dem Artikel 2.1. des Grundgesetzes auch das allgemeine Persönlichkeitsrecht eines der Abwehrrechte des Bürgers gegen einen übergriffigen Staat ist. Und dazu gehört auch, daß der Bürger sich sicher sein kann, daß der Staat grundsätzlich keine Bewegungsprofile und/oder Persönlichkeitsprofile erstellt, was mit Hilfe von z.B. gescannten Nummernschildern von KFZ oder einen Tracking von Mobilfunkdaten technisch problemlos möglich wäre.

Das Urteil des BVerfG zur Vorratsdatenspeicherung

Am 20.3.2010 urteilte das Bundeverfassungsgericht:

Der Abruf und die unmittelbare Nutzung der Daten sind nur verhältnismäßig, wenn sie überragend wichtigen Aufgaben des Rechtsgüterschutzes dienen. Im Bereich der Strafverfolgung setzt dies einen durch bestimmte Tatsachen begründeten Verdacht einer schweren Straftat voraus. Für die Gefahrenabwehr und die Erfüllung der Aufgaben der Nachrichtendienste dürfen sie nur bei Vorliegen tatsächlicher Anhaltspunkte für eine konkrete Gefahr für Leib, Leben oder Freiheit einer Person, für den Bestand oder die Sicherheit des Bundes oder eines Landes oder für eine gemeine Gefahr zugelassen werden.

Eine nur mittelbare Nutzung der Daten zur Erteilung von Auskünften durch die Telekommunikationsdiensteanbieter über die Inhaber von Internetprotokolladressen ist auch unabhängig von begrenzenden Straftaten- oder Rechtsgüterkatalogen für die Strafverfolgung, Gefahrenabwehr und die Wahrnehmung nachrichtendienstlicher Aufgaben zulässig. Für die Verfolgung von Ordnungswidrigkeiten können solche Auskünfte nur in gesetzlich ausdrücklich benannten Fällen von besonderem Gewicht erlaubt werden.

Unter RdNr. 256 führt das BVerfG aus, dass unter „mittelbaren“ Daten verstanden wird, dass lediglich der Inhaber einer IP-Adresse abgefragt wird:

Von Bedeutung ist hierfür zum einen, dass die Behörden selbst keine Kenntnis der vorsorglich zu speichernden Daten erhalten. Die Behörden rufen im Rahmen solcher Auskunftsansprüche nicht die vorsorglich anlasslos gespeicherten Daten selbst ab, sondern erhalten lediglich personenbezogene Auskünfte über den Inhaber eines bestimmten Anschlusses, der von den Diensteanbietern unter Rückgriff auf diese Daten ermittelt wurde. Dabei bleibt die Aussagekraft dieser Daten eng begrenzt: Die Verwendung der vorsorglich gespeicherten Daten führt allein zu der Auskunft, welcher Anschlussinhaber unter einer bereits bekannten, etwa anderweitig ermittelten IP-Adresse im Internet angemeldet war. Eine solche Auskunft hat ihrer formalen Struktur nach eine gewisse Ähnlichkeit mit der Abfrage des Inhabers einer Telefonnummer. Ihr Erkenntniswert bleibt punktuell. Systematische Ausforschungen über einen längeren Zeitraum oder die Erstellung von Persönlichkeits- und Bewegungsprofilen lassen sich allein auf Grundlage solcher Auskünfte nicht verwirklichen.

Diese Abfrage ist gemäß des BVerfG möglich, da mit der Identifikation eines Inhabers einer IP-Adresse ja ausgeschlossen ist, daß z.B. Bewegungsprofile von ihm erstellt werden.

Das Internet darf anonym benutzt werden

Nach § 13 Abs. 6 Satz 1 des am 13. Mai 2024 durch das Digitale Dienste Gesetz ersetzten TMG hat ein Diensteanbieter die Nutzung von Telemedien anonym oder unter Pseudonym zu ermöglichen.

der Gesetzgeber hat sich sehr bewusst für eine weitreichende Anonymität im Internet entschieden. Ausnahmen sind daher nur auf gesetzlicher Grundlage möglich. Ein Gesetz, das das Durchbrechen der Anonymität wegen Falschaussagen erlaubt, gibt es aber nicht.

Eine Ausnahme ist gemäß BGH nur auf der Grundlage des Strafrechts gegeben: Anonymität ist im Netz dann nicht mehr gegeben, wenn ein Handeln strafrechtliche Relevanz hat, z.B. bei übler Nachrede, Verleumdung, Beleidigung etc. Betroffene konnten daher keinen Auskunftsanspruch bei einem Zivilgericht geltend machen, sondern mussten immer Strafanzeige gegen Unbekannt stellen, um Namen zu erhalten.

Doch deutsche Regierungen haben bereits vielfach Versuche gestartet, derartige Daten regelmäßig erheben und speichern zu können. Eine Speicherung dieser Daten ist die Voraussetzung dafür, diese nicht nur für die Zwecke der Strafverfolgung, sondern auch für die Zwecke des Marketing oder zum Zweck der politischen Beeinflussung nutzen zu können. So wurde zunächst versucht mit Hilfe von Nummernschild-Scans diese Restriktion zu durchbrechen und dann mit Hilfe der Erhebung von Positionsdaten bei Mobilfunk-Kunden. Bisher wurde jedoch jeder derartige Versuch durch das Bundesverfassungsgericht vehement zurückgewiesen:

Grundsätzliches Verbot der Erstellung von Bewegungsprofilen durch Nummernschild-Scans

Am 11. März 2008 hat der erste Senat des Bundesverfassungsgerichts in den Verfahren – 1 BvR 2074/05 -; – 1 BvR 1254/07 – klar und eindeutig festgehalten:

1. Eine automatisierte Erfassung von Kraftfahrzeugkennzeichen zwecks Abgleichs mit dem Fahndungsbestand greift dann, wenn der Abgleich nicht unverzüglich erfolgt und das Kennzeichen nicht ohne weitere Auswertung sofort und spurenlos gelöscht wird, in den Schutzbereich des Grundrechts auf informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) ein…

5. Die automatisierte Erfassung von Kraftfahrzeugkennzeichen darf nicht anlasslos erfolgen oder flächendeckend durchgeführt werden. Der Grundsatz der Verhältnismäßigkeit im engeren Sinne ist im Übrigen nicht gewahrt, wenn die gesetzliche Ermächtigung die automatisierte Erfassung und Auswertung von Kraftfahrzeugkennzeichen ermöglicht, ohne dass konkrete Gefahrenlagen oder allgemein gesteigerte Risiken von Rechtsgutgefährdungen oder -verletzungen einen Anlass zur Einrichtung der Kennzeichenerfassung geben. Die stichprobenhafte Durchführung einer solchen Maßnahme kann gegebenenfalls zu Eingriffen von lediglich geringerer Intensität zulässig sein.

Der Begründung kann man hierzu ergänzen entnehmen:

Insbesondere durch längerfristige oder weiträumig vorgenommene Kennzeichenerfassungen, die nicht notwendig im Sinne von § 184 Abs. 5 LVwG „flächendeckend“ sein müssen, sind Eingriffe von erheblichem Gewicht möglich, wenn etwa gezielt aus dem Aufenthaltsort auf das weitere Verhalten des Betroffenen geschlossen werden soll oder wenn mehrere Treffermeldungen heimlich gesammelt und zu einem Bewegungsprofil zusammengestellt werden. Werden detaillierte Informationen über das Bewegungsverhalten einer Person gewonnen und mit weiteren Informationen verknüpft, aus denen sich etwa erschließen lässt, zu welchem Zweck eine Person sich über einen längeren Zeitraum zu den jeweiligen Orten begibt, mit wem sie sich getroffen und was sie dort unternommen hat, so kann sich die Intensität des Eingriffs sogar derjenigen der Erstellung eines Persönlichkeitsbilds annähern (dazu vgl. BVerfGE 65, 1 <42>).

Grundsätzliches Verbot der Erstellung von Bewegungsprofilen von Mobiltelefonen

Trotz dieses eindeutigen Verbots versuchte die Politik weiter, derartige Ausspähungen durchzusetzen. Einen weiteren Angriff auf dieses Verbot startete die Bayerische Staatsregierung.

Die Söder-Regierung packte eine derartige Möglichkeit der Überwachung einfach in ein neues Bayerisches Verfassungsschutzgesetz und versuchte damit die Möglichkeit einer quasi schrankenlosen Überwachung nicht nur zu den Geheimdiensten zu verschieben, sondern darüber hinaus auch noch hinter schwammigen, also absichtlich allgemein gehaltenen Begriffen zu verstecken.

Doch das abgerufene Bundesverfassungsgericht in Karlsruhe beanstandete am 26. April 2022 – 1 BvR 1619/17 – wesentliche Passagen dieses neuen Gesetzes, da zu viele Maßnahmen darin zu vage definiert wurden, beispielswiese bei der Wohnraumüberwachung, da der Intimbereich der Wohnung nicht deutlich genug geschützt worden war. Darüber hinaus könnten aus dem selben Grund auch Bewegungsprofile durch eine Ortung von Handys erstellt. Das aber sei ein schwerer Grundrechtseingriff.

Zu der von der Bayerischen Staatsregierung als Gesetzentwurf angelegten Ortung von Mobiltelefonen führte das Bundesverfassungsgericht aus:

(1) Angesichts der für sich genommen begrenzten Aussagekraft der nach Art. 12 Abs. 1 BayVSG erhobenen Daten würde der Eingriff nicht sehr schwer wiegen, wenn die Überwachung auf punktuelle Maßnahmen begrenzt wäre. Da Art. 12 Abs. 1 BayVSG jedoch keine Vorgaben zur Häufigkeit der Ermittlung des Standorts und zur zeitlichen Dauer der Maßnahme trifft, lässt es die Norm jedenfalls rechtlich zu, den Standort einer Person in einem engen Zeittakt wiederholt zu ermitteln. Wenn so über einen längeren Zeitraum hinweg die Bewegung des Mobiltelefons der beobachteten Person nachverfolgt und ein Bewegungsprofil erstellt wird, ist dies ein intensiver Grundrechtseingriff (vgl. BVerfGE 120, 378 <400 f., 406 f.>; 125, 260 <319 f.>; 150, 244 <285 Rn. 100>).

In Folge dieses Urteils wird der Bayerische Verfassungsschutz in Zukunft also genau begründen müssen, warum und wie sie dieser Mobiltelefone ortet. Hinzu kommt, daß eine unabhängige Stelle dieser Behörden hierbei kontrollieren muß.

Der EuGH ändert seine Rechtsprechung

Während der EuGH im Jahr 2020 zuletzt feststellte, daß die Speicherung von IP-Adressen einen schwerwiegenden Eingriff in die Grundrechte darstellt und daß der Zugriff auf sie zusammen mit der Identität des Internetnutzers nur zum Zweck der Bekämpfung schwerer Kriminalität oder des Schutzes der nationalen Sicherheit erfolgen darf, das stimmt nicht mehr.

Der EuGH hat am 30.4.2024 seine Argumentation jedoch umgekehrt: Er ist nun der Auffassung, daß die Speicherung von IP-Adressen standardmäßig keinen schwerwiegenden Eingriff in die Grundrechte mehr darstellt und dass ein solcher Zugriff nur in bestimmten Fällen einen schwerwiegenden Eingriff darstellt, der durch entsprechende Schutzmaßnahmen geschützt werden muss.

In Folge zeigen wir diese merkwürdige Entwicklung im Detail auf:

Die grundsätzliche Rechtsprechung des EuGH und die einzige Ausnahme dazu

Der Europäische Gerichtshof hat in mehreren Entscheidungen herausgearbeitet, daß ein gesetzlicher Zwang zu einer Vorratsadtenspeicherung grundsätzlich unzulässig ist.

Abgeleitet hatte er dies aus Art. 7, 8 und 11 der Charta der Grundrechte der europäischen Union in Verbindung mit Art. 15 der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation – „ePrivacy-Richtlinie“). Bei einem gesetzlichen Zwang zu einer Vorratsdatenspeicherung seien die dort verankerten Erfordernisse der Notwendigkeit, Angemessenheit und Verhältnismäßigkeit nicht gegeben. Besätigt wurde dies in den Urteilen

vom 8. April 2014 (EuGH, Urt. v. 8.4.2014, C-293/12 u. C-594/12, Digital Rights Ireland Ldt/Minister for Communications, Marine and Naturale Recourses u.a.)
vom 21. Dezember 2016 (EuGH, Urteil v. 21.12.2016, C-203/15 u. C-698/15, Tele2 Sverige)

In diesen hob der EuGH hervor, daß eine Vorratsdatenspeicherung grundsätzlich unzulässig ist. Insbesondere darf sie

nicht uneingeschränkt und pauschal erfolgen und
nicht alle Teilnehmer und
nicht alle elektronischen Kommunikationsmittel und
nicht sämtliche Kommunikationsdaten

einbeziehen. Außerdem machte es der EuGH zur Auflage, daß in den Ausnahmefällen, in denen eine Vorratsdatenspeicherung dann doch zulässig ist, diese

auf einen bestimmten Zeitraum,
auf ein bestimmtes geographisches Gebiet
auf einen definierten Personenkreis

begrenzt werden muß. Dies hat zur Folge, daß das Instrument der gesetzlich vorgeschriebenen Vorratsdatenspeicherung praktisch nur zur Bekämpfung schwerer Kriminalität eingesetzt werden durfte.

Die Ausweitung der Ausnahme von der grundsätzlichen Rechtsprechung des EuGH

Damit hatte der EuGH also den Grundsatz festgelegt und eine einzige Ausnahme definiert. Doch diese einzige Ausnahme wurde kurz darauf bereits erweitert: Am 6. Oktober 2020 verkündete der EuGH dann zwei Entscheidungen, und am 20. September 2022 eine weitere Entscheidung, die sich mit weiteren Ausnahmen befasste:

In der ersten Entscheidung (EuGH, Urt. v. 6.10.2020, C-623/17 Privacy International) ging es um die in Großbritannien geltende Rechtslage, daß ein britisches Gesetz ein allgemeines und unterschiedsloses Sammeln von Kommunikationsdaten und das Aushändigen dieser Daten an einen Nachrichtendienst ermöglichte.
In der zweiten Entscheidung ging es um einen Streitfall aus Frankreich und Belgien (EuGH, Urt. v. 6.10.2020, C-511/18, C-512/18 u. C-520/18, La Quadrature du Net u.a.) die eine allgemeine und unterschiedslose Speicherung von Kommunikationsdaten anprangerten.
In der dritten Entscheidung ging es um einen Streitfall aus Frankreich und Belgien (EuGH, Urt. v. 20.9.2022, C‑793/19 und C‑794/19, SpaceNet u.a.) die erneut eine allgemeine und unterschiedslose Speicherung von Kommunikationsdaten anprangerte.

Sowohl für das Sammeln, als auch für das Speichern wurde in diesen Entscheidungen noch einmal bestätigt, daß eine allgemein verpflichtende Regelung zur Vorratsdatenspeicherung durch TK-Anbieter gegen Art. 23 Abs. 1 Datenschutz-Grundverordnung (DSGVO) verstößt. Den Urteilen ist erneut entnehmbar, daß eine anlasslose Vorratsdatensammlung und Vorratsdatenspeicherung mit den grundlegenden Menschenrechten auf Privatsphäre, Datenschutz und Meinungsfreiheit unvereinbar ist und deswegen auch unzulässig ist.

Der EuGH machte in diesem Urteil jedoch auch eine weitere Hintertüre auf. Demnach kann es von diesem grundsätzlichen Verbot auch Ausnahmen geben. Das sei dann der Fall, wenn die Existenz des Staates auf dem Spiel stehe, wenn es also um eine ernsthafte Bedrohung der nationalen Sicherheit geht, wenn also eine tatsächliche, gegenwärtige Gefahr oder wenn eine vorhersehbare Gefahr gegeben ist, dann dürfe ein Mitgliedsstaat auch eine anlaßlose Vorratsdatenspeicherung gesetzlich vorschreiben.

Die bereits zuvor definierte Ausnahme, zur Bekämpfung schwerer Straftaten und zur Abwehr schwerwiegender Bedrohungen der öffentlichen Sicherheit wurden bestätigt. Bestätigt wurden auch die Auflagen unter denen dies durchgeführt werden dürfte, wie z.B.:

die Beschränkung der Speicherung auf das absolut erforderliche Zeitmaß
ergreifen wirksamer Schutzmaßnahmen
Überprüfbarkeit durch ein Gericht oder eine unabhängige Behörde.

Hinzu kommt nun, daß bei konkretem Terrorverdacht nun auch auch Echtzeit-Daten der Person nach vorheriger Prüfung durch ein Gericht oder eine unabhängige Behörde ausgewertet werden dürften.

Die in solchen Fällen gespeicherten dürfen dann auch die IP-Adressen der Telekommunikationsnutzer umfassen. Dem dritten Urteil ist zu entnehmen, daß alles eigentlich ganz klar sei:

103 Entgegen den Ausführungen des vorlegenden Gerichts besteht somit kein Spannungsverhältnis zwischen den Rn. 155 und 168 des Urteils vom 6. Oktober 2020, La Quadrature du Net u. a. (C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791). Wie der Generalanwalt in den Nrn. 81 und 82 seiner Schlussanträge im Kern ausgeführt hat, geht nämlich aus dieser Rn. 155 in Verbindung mit Rn. 156 und Rn. 168 dieses Urteils klar hervor, dass neben dem Schutz der nationalen Sicherheit nur die Bekämpfung schwerer Kriminalität und die Verhütung schwerer Bedrohungen der öffentlichen Sicherheit geeignet sind, die allgemeine Vorratsspeicherung der der Quelle einer Verbindung zugewiesenen IP-Adressen zu rechtfertigen, unabhängig davon, ob die betroffenen Personen einen zumindest mittelbaren Zusammenhang mit den verfolgten Zielen aufweisen.

Wenn aber alles ganz klar ist, warum hat der EuGH dann 2024 seine Rechtsprechung geändert?

Die Änderung der Rechtsprechung des EuGH: die Ausnahme wird zur Regel

Anlaß des jüngsten Urteils des EuGH war ein Verfahren zur Bekämpfung von illegalem Filesharing von Musik- und Filmdateien in Frankreich. Um illegale Filesharer identifizieren zu können griff die damals dafür zuständige französische Behörde „Hadopi“ auf die Daten der französischen Vorratsdatenspeicherung zu. Grundlage hierfür war ein Dekret aus de Jahr 2010, in dem die französische Regierung Hadopi das Recht gab, bei Telekommunikationsanbietern die Identitätsdaten von Inhabern einer IP-Adressen abzufragen, um mit diesen in Kontakt kommen zu können.

Hierbei handelte es sich nicht um einen Straftatbestand, denn bei den ersten beiden Verstößen erhielten die so als „illegale Filesharer“ identifizierten Personen durch die Behörde ledigoich eine Warnung. Erst bei weiteren Verstößen, durfte die Behörde die Justiz einschalten, um so dann eine strafrechtliche Verfolgung einzuleiten, was beriets 2012 kritisiert worden war. Damit ging es in jenem Verfahren also um die Herausgabe von Identitäten hinter IP-Adressen, wenn noch gar kein Strafantrag gestellt worden war, sondern nur eien Art „Orndunsgwidrigkeit“ vorlag.

Bürgerrechtsorganisationen wollten daher jenes Dekret der französischen Regierung angreifen und glaubten sich auf die bis dahin geltende Rechtsprechung des EuGH verlassen zu können. Die gerichte in Frankreich wollten die Frage ob ewin solcher umgang mit Daten aus einer Vorratsdatenspeicherung rechtmäßig sei nicht beantworten und der französische Staatsrat legte diese Frage daraufhin dem EuGH vor. Doch statt den Bürgerrechtsorganisationen Recht zu geben, änderte der EuGH seine eigene Rechtsprechung, was für die Bürgerrechtsorganisationen der größte anzunehmende Unfall war!

Der EuGH stellt nämlich daraufhin klar, dass eine anlaßlose Vorratsdatenspeicherung ausschließlich bei schwere Kriminalität erlaubt sei, nicht gerechtfertigt sei.

Als Grund führte der EuGH aus, daß die erhaltene IP-Adresse ja nicht mit anderen Daten kombiniert wird und sie deswegen nutzlos sei, so das Gericht.

Und weil IP-Adresse ja nicht mit anderen Daten kombiniert werde, stelle deren anlaßlose Speicherung angeblich auch keinen schweren Eingriff in die Persönlichkeitsrechte der Betroffenen dar. Während also eine anlaßlose Vorratsdatenspeicherung gemäß BVerfG nur bei schweren Straftaten in Betracht kommt, kommt eine anlaßlose Vorratsdatenspeicherung gemäß EuGH immer in Betracht, wenn eine Straftat im Raum stehen könnte.

Als einzige Grenze zieht der EuGH eine das absolut Notwendige zeitliche Begrenzung, ohne aber anzugeben ob er dabei in Wochen oder Monaten denkt.

Die neue Rechtsprechung des EuGH

Der EuGH hat am 30.4.2024 nun doch den automatisierten Massenzugriff auf IP-Adressen genehmigt, die mit der Identität und dem Inhalt einer Kommunikation verbunden sind. Dieser Zugriff kann für geringfügige Zwecke und ohne vorherige Überprüfung durch ein Gericht oder eine unabhängige Verwaltungsbehörde erfolgen.

Dieses Urteil vom 30. April 2024 stellt eine große Kehrtwende in der EU-Rechtsprechung dar.

Worum geht es?

In einen Rechtsstreit mit den Verbänden

La Quadrature du Net,
Fédération des fournisseurs d’accès à Internet associatifs,
Franciliens.net und
French Data Network

einerseits und dem

Premier ministre (Premierminister, Frankreich), bzw. dem
Ministre de la Culture (Minister für Kultur, Frankreich)

anderseits war die die Rechtmäßigkeit des französischen Gesetzes

Décret no 2010‑236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331‑29 du code de la propriété intellectuelle dénommé „Système de gestion des mesures pour la protection des œuvres sur Internet“
Dekret Nr. 2010-236 vom 5. März 2010 über die nach Art. L. 331-29 des Gesetzbuchs über das geistige Eigentum gestattete automatisierte Verarbeitung personenbezogener Daten mit der Bezeichnung „System zur Verwaltung von Maßnahmen zum Schutz von Werken im Internet“

und seiner Nachfolgeregelung, dem JORF Nr. 109 vom 10. Mai 2017, Text Nr. 176, strittig, wie sie die von der Aufsichtsbehörde

„Haute Autorité pour la diffusion des oeuvres et la protection des droits sur l’Internet (Hadopi)“

Anwendung fand. Die Aufsichtsbehörde Hadopi gibt es aktuell nicht mehr. Aktuell wird in Frankreich die audiovisuelle und digitale Kommunikation durch die – angeblich – unabhängige Aufsichtsbehörde

„Autorité de régulation de la communication audiovisuelle et numérique (ARCOM)“

geregelt. Diese war aber am 1. Januar 2022 aus einer Fusion der Conseil supérieur de l’audiovisuel (CSA) mit der der Haute Autorité pour la diffusion des oeuvres et la protection des droits sur l’Internet (Hadopi) entstanden.

Am 30. April 2024 verkündete der Gerichtshof der Europäischen Union (EuGH), daß die von der Hadopi praktizierte massiven Überwachung des Internet auf (angebliche) Verstöße gegen das Urheberrecht rechtmäßig sei.

Das Interessante: das ist nur möglich, weil der EUGH hierbei seine eigene Rechtsprechung geändert hat!

Der EuGH ändert einfach mal so seine Rechtsprechung zur Massenüberwachung

Der EuGH hat seine bisherige Rechtsprechung, von der Position, daß ein Zugriff auf IP-Adressen regelmäßig ein schwerwiegender Eingriff in die Grundrechte darstellt, zur Position, daß ein Zugriff auf IP-Adressen regelmäßig keinen schwerwiegenden Eingriff in die Grundrechte darstellt, auf den Kopf gestellt.

Durch diesen Schwenk gilt ein Zugriff auf IP-Adressen nicht mehr standardmäßig als schwerwiegender Eingriff in die Grundrechte.

Damit läßt das „Gericht“ in letzter Konsequenz auch die Möglichkeit einer Massenüberwachung des Internets zu.

Für einen Normalbürger ist es wohl unerträglich Urteile des EuGH zu lesen. Viel zu oft wirken dessen Urteile als ob sie eigens so geschrieben werden, daß man sie nicht liest.

Und selbst wenn man sie zu lesen versucht, wird man von ewig langen und ineinander verschachtelten Bandwurmsätzen abgestoßen:

2021: unterschiedloser Zugriff auf Vorratsdatenspeicherung ist ein besonders schwerer Eingriff in die Grundrechte

Noch im November 2021 stellte die Direktion Wissenschaftlicher Dienst und Dokumentation des EUGH fest, dass eine unterschiedlose Vorratsdatenspeicherung ein besonders schwerer Eingriff in die Grundrechte darstellt:

Diese Pflichten zur allgemeinen und unterschiedslosen Vorratsspeicherung stellen nämlich besonders schwerwiegende Eingriffe in die durch die Charta garantierten Grundrechte dar, ohne dass zwischen dem Verhalten der Personen, deren Daten betroffen sind, und dem mit der fraglichen Regelung verfolgten Ziel eine Verbindung besteht. Analog dazu hat der Gerichtshof Art. 23 Abs. 1 DSGVO im Licht der Charta ausgelegt, dass er einer nationalen Regelung entgegensteht, mit der den Anbietern eines öffentlichen Online-Zugangs zu Kommunikationsdiensten und den Betreibern von Hosting-Diensten eine allgemeine und unterschiedslose Vorratsspeicherung insbesondere von personenbezogenen Daten im Zusammenhang mit diesen Diensten auferlegt wird (Rn. 71, 82 und Tenor 2 des Urteils Privacy International und Rn. 146, 168, 174, 177, 212, Tenor 1 und 3 des Urteils La Quadrature du Net u. a.).

Dagegen ist der Gerichtshof zu dem Ergebnis gelangt, dass die Richtlinie 2002/58 es im Licht der Charta gestattet, den Betreibern elektronischer Kommunikationsdienste eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten aufzuerlegen, wenn sich der betreffende Mitgliedstaat einer als real und aktuell oder vorhersehbar einzustufenden ernsten Bedrohung für die nationale Sicherheit gegenübersieht. In diesem Kontext hat der Gerichtshof klargestellt, dass diese Anordnung, die nur für einen auf das absolut Notwendige begrenzten Zeitraum ergehen darf, Gegenstand einer wirksamen, zur Prüfung des Vorliegens einer solchen Situation sowie der Beachtung der vorzusehenden Bedingungen und Garantien dienenden Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle sein muss, deren Entscheidung bindend ist. Unter den gleichen Voraussetzungen steht die Richtlinie auch einer automatisierten Analyse insbesondere der Verkehrs- und Standortdaten aller Nutzer elektronischer Kommunikationsmittel nicht entgegen (Rn. 137 bis 139, 177 bis 179, Tenor 1 und 2 des Urteils La Quadrature du Net u. a.).

2024: unterschiedloser Zugriff auf Vorratsdatenspeicherung ist kein besonders schwerer Eingriff in die Grundrechte

All das wird durch den EuGH nun auf den Kopf gestellt:

Aus den dem Gerichtshof vorliegenden Akten geht – vorbehaltlich der Überprüfung durch das vorlegende Gericht – hervor, dass sich die Angaben zu dem betreffenden Werk, die in einem Protokoll enthalten sind, dessen Inhalt auf den Beratungen der CNIL vom 10. Juni 2010 beruht, im Wesentlichen auf dessen Titel und einen als „chunk“ bezeichneten Auszug beschränken, der die Form einer alphanumerischen Zeichenfolge und nicht einer Audio- oder Videoaufnahme des Werkes hat.

Insoweit kann zwar nicht generell ausgeschlossen werden, dass der Zugang einer Behörde zu einer begrenzten Zahl von Identitätsdaten des Inhabers einer IP-Adresse, die ihr von einem Betreiber elektronischer Kommunikationsdienste allein zu dem Zweck übermittelt wurden, den Inhaber in einem Fall zu identifizieren, in dem diese Adresse für Aktivitäten genutzt wurde, die Urheberrechte oder verwandte Schutzrechte verletzen können, sofern er mit der Analyse von – sei es auch begrenzten – Angaben zum Inhalt des rechtswidrig im Internet zur Verfügung gestellten Werkes, die ihr zuvor von Einrichtungen der Rechteinhaber übermittelt wurden, geeignet ist, die Behörde über bestimmte Aspekte des Privatlebens des Inhabers, einschließlich sensibler Informationen wie sexuelle Orientierung, politische Meinungen, religiöse, philosophische, gesellschaftliche oder sonstige Überzeugungen sowie Gesundheitszustand zu informieren, obwohl solche Daten ansonsten im Unionsrecht besonderen Schutz genießen.

Im vorliegenden Fall sind die der Hadopi zur Verfügung stehenden Daten und Informationen aufgrund ihrer Natur und ihres begrenzten Umfangs jedoch nur in atypischen Situationen geeignet, Informationen, unter Umständen sensibler Art, über Aspekte des Privatlebens der betreffenden Person zu offenbaren, die es dieser Behörde zusammen genommen ermöglichen könnten, genaue Schlüsse auf ihr Privatleben zu ziehen, z. B. durch die Erstellung ihres detaillierten Profils…

Allerdings kann, wie bereits oben in den Rn. 110 und 111 ausgeführt, nicht ausgeschlossen werden, dass in atypischen Situationen die Daten und begrenzten Informationen, die einer Behörde im Rahmen eines Verfahrens wie des im Ausgangsverfahren in Rede stehenden Verfahrens der abgestuften Reaktion zur Verfügung gestellt werden, Informationen, unter Umständen sensibler Art, über Aspekte des Privatlebens der betreffenden Person offenbaren können, die es dieser Behörde zusammen genommen ermöglichen könnten, genaue Schlüsse auf ihr Privatleben zu ziehen und gegebenenfalls ihr detailliertes Profil zu erstellen.

Nach alledem ist auf die drei Vorlagefragen zu antworten, dass Art. 15 Abs. 1 der Richtlinie 2002/58 im Licht der Art. 7, 8 und 11 sowie von Art. 52 Abs. 1 der Charta dahin auszulegen ist, dass er einer nationalen Regelung nicht entgegensteht, die der mit dem Schutz von Urheberrechten und verwandten Schutzrechten vor Verletzungen dieser Rechte im Internet betrauten Behörde den Zugang zu den von den Betreibern öffentlich zugänglicher elektronischer Kommunikationsdienste auf Vorrat gespeicherten Identitätsdaten, die IP-Adressen zuzuordnen sind, die zuvor von Einrichtungen der Rechteinhaber gesammelt wurden, gestattet, damit die Behörde die Inhaber dieser für Aktivitäten, die solche Rechtsverletzungen darstellen können, genutzten Adressen identifizieren und gegebenenfalls Maßnahmen gegen sie ergreifen kann, unter der Voraussetzung, dass nach dieser Regelung…

der Zugang dieser Behörde zu solchen wirksam strikt getrennt auf Vorrat gespeicherten Daten ausschließlich dazu dient, die Person zu identifizieren, die im Verdacht steht, eine Straftat begangen zu haben, und dieser Zugang mit den erforderlichen Garantien versehen ist, um auszuschließen, dass er, abgesehen von atypischen Situationen, genaue Schlüsse auf das Privatleben der Inhaber der IP-Adressen ermöglichen kann, z. B. durch die Erstellung ihres detaillierten Profils, was insbesondere impliziert, dass es den Bediensteten dieser Behörde, denen ein solcher Zugang gestattet worden ist, untersagt ist, Informationen über den Inhalt der von den Inhabern der IP-Adressen konsultierten Dateien, außer zum alleinigen Zweck der Befassung der Staatsanwaltschaft, in welcher Form auch immer offenzulegen, die von diesen Personen besuchten Internetseiten nachzuverfolgen und allgemeiner die IP-Adressen zu anderen Zwecken als dem der Identifizierung ihrer Inhaber im Hinblick auf den Erlass etwaiger gegen sie gerichteter Maßnahmen zu nutzen;

Das Gericht fordert die Behörde Hadopi also auf, sich weiterzuentwickeln.

Was das Gericht hier also macht ist, die Bevölkerung grundsätzlich schutzlos zu stellen. Wo vorher ein Verbot stand, auf Daten zuzugreifen, weil dies ein

schwerwiegenden Eingriff in das Recht auf Privatsphäre

war, sagt nun der EuGH, daß

eine nationale Regelung die oben in Rn. 101 genannten Voraussetzungen erfüllt… der mit dem Zugang dieser Behörde zu den im Ausgangsverfahren in Rede stehenden Identifizierungsdaten verbundene Eingriff nicht als schwerwiegend eingestuft werden kann.

Als Grund wird angeführt, daß ein „schwerwiegender Eingriff“ nur dann vorliegt, wenn der Eingriff gegen die „Werte“ der Union verstößt und das sind:

bestimmte Aspekte des Privatlebens des Inhabers, einschließlich sensibler Informationen wie sexuelle Orientierung, politische Meinungen, religiöse, philosophische, gesellschaftliche oder sonstige Überzeugungen sowie Gesundheitszustand

Nur wenn also diese „Werte“ verletzt sind, dann sei der Zugriff auf die IP-Adresse und damit die Identität des Internetnutzers im Zusammenhang mit urheberrechtlich geschützten Werken ein schwerwiegender Eingriff in das Recht auf Privatsphäre darstellen kann, z. B. wenn das Material Rückschlüsse auf politische Aspekte zulässt, auf Meinungen, sexuelle Orientierung usw.

Das neue Urteil ist eine Katastrophe für den Datenschutz

Der EuGH fährt damit also den Schutz der Bevölkerung zurück!

Das eigentliche Drama an dieser Änderung der Rechtsprechung kann man jedoch nur mit folgenden Zusatzüberlegungen ermessen:

Wenn der EuGH 2024 argumentiert, daß dem Schutz der Privatsphäre schon dadurch Genüge getan wäre, indem man „nur“ die IP-Adressen erfasst und den bürgerlichen Namen der Person, die Inhaber dieser Adresse ist, dann war das aber auch schon vor dem 30.4.2024 der Fall. Wenn das aber auch schon vor dem 30.4.2024 der Fall war, warum hat der EuGH in früheren Urteilen die IP-Adresse und den Privatnahmen dahinter noch als „Privat“ geschützt gehabt und einen Zugriff darauf verboten gehabt?
Hinzu kommt, daß man wissen muß, daß diese IP-Adressen in der Regel dynamisch vergeben werden, sich also regelmäßig ändern. Wer also zwei IP-Adressen der selben Person abfragt hat damit bereits einen Ausschnitt eines Bewegungsprofils der dahinter stehenden Person. Mit steigender Anzahl der Abfragen kann dieses Profil dann entsprechend verfeinert werden.

Ein Verfahren für den Wiederholungsfall

Der EuGH ist außerdem der Auffassung, daß Hadopi grundsätzlich in großem Umfang und automatisiert auf die zivilen Identitäten von Menschen zugreifen kann. Erst im Wiederholungsfall darf der Zugriff auf IP-Adressen nicht „vollständig automatisiert“ erfolgen.

Diese verschiedenen Verarbeitungen personenbezogener Daten sollen es der Hadopi ermöglichen, gegenüber den auf diese Weise identifizierten Inhabern von IP-Adressen die im Rahmen des in Art. L. 331-25 CPI geregelten Verwaltungsverfahrens der „abgestuften Reaktion“ vorgesehenen Maßnahmen zu ergreifen. Dabei handelt es sich zunächst um die Übersendung von „Empfehlungen“, die Warnungen gleichkommen. Sodann wird der Teilnehmer, falls die Kommission für den Schutz von Rechten der Hadopi innerhalb eines Jahres nach der Übersendung einer zweiten Empfehlung mit Tatbeständen befasst wird, die eine Wiederholung des festgestellten Verstoßes darstellen können, in der in Art. R. 331-40 CPI geregelten Weise darüber unterrichtet, dass bei den Tatbeständen „grobe Fahrlässigkeit“ im Sinne von Art. R. 335-5 CPI vorliegen könnte, die mit einer Geldbuße von bis zu 1500 Euro bzw. 3000 Euro im Wiederholungsfall geahndet wird. Schließlich wird nach Beratung die Staatsanwaltschaft mit Tatbeständen befasst, die eine solche Übertretung oder gegebenenfalls das Delikt der Nachahmung im Sinne von Art. L. 335-2 CPI oder Art. L. 335-4 CPI darstellen können, das mit Freiheitsstrafe von drei Jahren und mit Geldstrafe von 300000 Euro bedroht ist.

Mit anderen Worten: Die abgestufte Reaktion (benannt nach dem von Hadopi angewandten Verfahren, das darin besteht, zunächst mehrere Warnungen zu versenden, bevor rechtliche Schritte eingeleitet werden, wenn der Internetnutzer seine Verbindung nicht „sichert“) muss ihre Vorgehensweise ändern.

Der französische Gesetzgeber muss einen komplizierten Mechanismus erfinden, um eine Art unabhängige externe Kontrolle des Zugangs zur Identität des Internetnutzers durch Hadopi zu ermöglichen.

Während für Hadopi derzeit keine Pflicht zur externen Kontrolle besteht, muss die Behörde in Zukunft eine solche Kontrolle über sich ergehen lassen, wenn sie in diesen „atypischen“ Fällen oder bei „Wiederholungsdelikten“ auf die Identität des Internetnutzers zugreifen will.

Damit werden letztendlich Personen außerhalb von Hadopi werden dafür verantwortlich gemacht werden, auf die Schaltfläche „Validierung“ zu klicken, während Hadopi bis dahin die Autorisierung selbst erteilte.