EuGH, Urt. 30.4.2024 - C-470/21
Zulässige Vorratsdatenspeicherung zur Verfolgung von Urheberrechtsverletzungen
Autor: RA, FA IT-Recht Dr. Aegidius Vogt, Herberger Vogt von Schoeler, München – www.hvs-rechtsanwaelte.de
Aus: IT-Rechtsberater, Heft 07/2024
Aus: IT-Rechtsberater, Heft 07/2024
Eine zeitlich begrenzte Vorratsdatenspeicherung von IP-Adressen zur Verfolgung strafbarer Schutzrechtsverletzungen ist unter Einhaltung enger Voraussetzungen zulässig.
AEUV Art. 267; GRC Art. 7, Art. 8, Art. 11, Art. 52 Abs. 1; RL 2002/58/EG Art. 5, Art. 15; RL 2016/680 Art. 1, Art. 3
Schutz überragender Ziele: Zwar statuiere Art. 5 RL 2002/58 die Vertraulichkeit elektronischer Kommunikation. Art. 15 Abs. 1 RL 2002/58 erlaube es den Mitgliedstaaten jedoch, diese zum Schutz überragender Schutzziele (Sicherheit des Staates, Landesverteidigung, öffentliche Sicherheit, Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten, unzulässiger Gebrauch elektronischer Kommunikationssysteme) durch Rechtsvorschriften zu beschränken. Hierbei müssten jedoch der Grundsatz der Verhältnismäßigkeit sowie die Grundrechte beachtet werden, insb. Art. 7 GRC (Achtung des Privatlebens), Art. 8 GRC (Schutz personenbezogener Daten) sowie Art. 11 GRC (freie Meinungsäußerung).
Bekämpfung von Straftaten im Allgemeinen: Zwar habe der EuGH bereits entschieden, dass eine allgemeine und unterschiedslose Vorratsspeicherung von IP-Adressen trotz deren geringeren Sensibilitätsgrades gegenüber anderen Verkehrsdaten nur zur Bekämpfung schwerer Kriminalität, zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit und zum Schutz der nationalen Sicherheit zulässig sei (EuGH v. 6.10.2020 – C-511/18, C-512/18, C-520/18, ECLI:EU:C:2020:791, CR 2021, 18 = ITRB 2020, 251 [Rössel]). Das Gericht habe sich dabei jedoch ausdrücklich auf die Schwere des mit der konkreten Speicherung verbundenen Grundrechtseingriffs durch die Möglichkeit der Erstellung detaillierter Nutzerprofile gestützt. Wenn schwere Eingriffe in das Privatleben Betroffener durch eine Verknüpfung der IP-Adressen mit darüber hinaus gespeicherten Verkehrs- oder Standortdaten tatsächlich ausgeschlossen seien, könne auch das Ziel der Bekämpfung von Straftaten im Allgemeinen als Rechtfertigung dienen (vgl. EuGH v. 2.10.2018 – C-207/16, ECLI:EU:C:2018:788, NJW 2019, 655).
Strikte Datentrennung: Die nationale Rechtsvorschrift müsse dabei zunächst sicherstellen, dass alle auf Vorrat gespeicherten Datenkategorien vollständig getrennt gespeichert würden. Eine wirksame strikte Trennung müsse in technischer Hinsicht durch abgesicherte und zuverlässige Datenverarbeitungseinrichtungen stattfinden. Eine Verknüpfung der IP-Adresse mit der Identität der Betroffenen dürfe nur unter Verwendung eines leistungsfähigen technischen Verfahrens erlaubt sein. Nicht zuletzt müsse die Zuverlässigkeit der strikten Datentrennung regelmäßig durch eine unabhängige Behörde kontrolliert werden. Bei Beachtung dieser strengen Anforderungen könne der Grundrechtseingriff nicht mehr als schwer eingestuft werden, da somit keine genauen Schlüsse auf das Privatleben mehr möglich seien.
Weitere Anforderungen: Darüber hinaus müsse die Dauer der Datenspeicherung auf das absolut Notwendige begrenzt sowie durch klare und präzise Regeln sichergestellt sein, dass die materiellen und prozeduralen Voraussetzungen der Datenspeicherung eingehalten würden und die Betroffenen über wirksame Garantien zum Schutz vor Missbrauchsgefahren sowie vor jedem unberechtigten Zugang zu den Daten und jeder unberechtigten Nutzung verfügten (EuGH v. 6.10.2020 – C-511/18, C-512/18, C-520/18, ECLI:EU:C:2020:791, CR 2021, 18 = ITRB 2020, 251 [Rössel]). Zudem müssten die Behörden die in der RL 2016/680 vorgesehenen Betroffenenrechte gewährleisten.
Keine vorherige Kontrolle erforderlich: Zwar sei nach st. Rspr. des Gerichts unabdingbar, dass der Zugang zu Verkehrs- und Standortdaten einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterworfen werde (vgl. zuletzt EuGH v. 5.4.2022 – C-140/20, CR 2022, 306). Allerdings sei diese Vorgabe nur im Kontext schwerer und besonders schwerer Grundrechtseingriffe (allgemeiner Zugang zu allen gespeicherten Verkehrs- und Standortdaten) entwickelt worden. Mithin bestehe grundsätzlich kein vorheriges Kontrollerfordernis, wenn vorbeschriebene Anforderungen eingehalten würden und damit kein schwerer Grundrechtseingriff gegeben sei. Dies ändere sich aber, wenn die Intensität der Grundrechtsbeeinträchtigungen im Laufe der Stufen des vorgesehenen Verwaltungsverfahrens – wie hier – allmählich zunehme. Auch mit Blick auf die große Anzahl derartiger Verfahren dürfe eine erforderliche Kontrolle nicht vollständig automatisiert werden, da die Verhältnismäßigkeitsprüfung zwingend das Tätigwerden einer natürlichen Person erfordere.
Verhältnismäßigkeit: Im Rahmen der von Art. 15 Abs. 1 Satz 1 RL 2002/58 vorgeschriebenen Verhältnismäßigkeitsprüfung sei insb. zu berücksichtigen, dass bei online begangenen Straftaten der Zugang zu IP-Adressen die einzige Ermittlungsmaßnahme darstellen könne. Würde der Zugang nicht gestattet, bestünde eine echte Gefahr der systemischen Straflosigkeit. Zwar sei der Zugang zu Identitätsdaten über die IP-Adresse nicht zwangsläufig die einzige mögliche Maßnahme zur Identifizierung. So könnten bspw. auch alle Online-Aktivitäten einer Person, etwa in sozialen Netzwerken, geprüft werden. Derartige Ermittlungsmaßnahmen wären indes besonders einschneidend und ein noch schwererer Grundrechtseingriff.
AEUV Art. 267; GRC Art. 7, Art. 8, Art. 11, Art. 52 Abs. 1; RL 2002/58/EG Art. 5, Art. 15; RL 2016/680 Art. 1, Art. 3
Das Problem
Die französische Behörde Hadopi verfolgt auf Grundlage nationalstaatlicher Regelungen u.a. Urheberrechtsverstöße im Internet, insb. illegales Filesharing. Für diese Zwecke kann die Behörde von Providern u.a. die Herausgabe der IP-Adresse verdächtiger Nutzer verlangen, um in einem abgestuften Verwaltungsverfahren verschiedene Maßnahmen zu ergreifen (Hinweis, Verwarnung, Weiterleitung an Staatsanwaltschaft). Mehrere französische Organisationen sehen hierin auch einen Verstoß gegen europäische Grundrechte. Auf Vorlage des Conseil d’État (Staatsrat) hatte der EuGH zu klären, ob die Vorratsdatenspeicherung ausschließlich zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit zulässig ist oder auch im Bereich von Schutzrechtsverletzungen angewandt werden kann.Die Entscheidung des Gerichts
Der EuGH erlaubt unter bestimmten Voraussetzungen grundsätzlich auch eine Vorratsdatenspeicherung zur Bekämpfung allgemeiner Straftaten wie insb. Urheberrechtsverstößen.Schutz überragender Ziele: Zwar statuiere Art. 5 RL 2002/58 die Vertraulichkeit elektronischer Kommunikation. Art. 15 Abs. 1 RL 2002/58 erlaube es den Mitgliedstaaten jedoch, diese zum Schutz überragender Schutzziele (Sicherheit des Staates, Landesverteidigung, öffentliche Sicherheit, Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten, unzulässiger Gebrauch elektronischer Kommunikationssysteme) durch Rechtsvorschriften zu beschränken. Hierbei müssten jedoch der Grundsatz der Verhältnismäßigkeit sowie die Grundrechte beachtet werden, insb. Art. 7 GRC (Achtung des Privatlebens), Art. 8 GRC (Schutz personenbezogener Daten) sowie Art. 11 GRC (freie Meinungsäußerung).
Bekämpfung von Straftaten im Allgemeinen: Zwar habe der EuGH bereits entschieden, dass eine allgemeine und unterschiedslose Vorratsspeicherung von IP-Adressen trotz deren geringeren Sensibilitätsgrades gegenüber anderen Verkehrsdaten nur zur Bekämpfung schwerer Kriminalität, zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit und zum Schutz der nationalen Sicherheit zulässig sei (EuGH v. 6.10.2020 – C-511/18, C-512/18, C-520/18, ECLI:EU:C:2020:791, CR 2021, 18 = ITRB 2020, 251 [Rössel]). Das Gericht habe sich dabei jedoch ausdrücklich auf die Schwere des mit der konkreten Speicherung verbundenen Grundrechtseingriffs durch die Möglichkeit der Erstellung detaillierter Nutzerprofile gestützt. Wenn schwere Eingriffe in das Privatleben Betroffener durch eine Verknüpfung der IP-Adressen mit darüber hinaus gespeicherten Verkehrs- oder Standortdaten tatsächlich ausgeschlossen seien, könne auch das Ziel der Bekämpfung von Straftaten im Allgemeinen als Rechtfertigung dienen (vgl. EuGH v. 2.10.2018 – C-207/16, ECLI:EU:C:2018:788, NJW 2019, 655).
Strikte Datentrennung: Die nationale Rechtsvorschrift müsse dabei zunächst sicherstellen, dass alle auf Vorrat gespeicherten Datenkategorien vollständig getrennt gespeichert würden. Eine wirksame strikte Trennung müsse in technischer Hinsicht durch abgesicherte und zuverlässige Datenverarbeitungseinrichtungen stattfinden. Eine Verknüpfung der IP-Adresse mit der Identität der Betroffenen dürfe nur unter Verwendung eines leistungsfähigen technischen Verfahrens erlaubt sein. Nicht zuletzt müsse die Zuverlässigkeit der strikten Datentrennung regelmäßig durch eine unabhängige Behörde kontrolliert werden. Bei Beachtung dieser strengen Anforderungen könne der Grundrechtseingriff nicht mehr als schwer eingestuft werden, da somit keine genauen Schlüsse auf das Privatleben mehr möglich seien.
Weitere Anforderungen: Darüber hinaus müsse die Dauer der Datenspeicherung auf das absolut Notwendige begrenzt sowie durch klare und präzise Regeln sichergestellt sein, dass die materiellen und prozeduralen Voraussetzungen der Datenspeicherung eingehalten würden und die Betroffenen über wirksame Garantien zum Schutz vor Missbrauchsgefahren sowie vor jedem unberechtigten Zugang zu den Daten und jeder unberechtigten Nutzung verfügten (EuGH v. 6.10.2020 – C-511/18, C-512/18, C-520/18, ECLI:EU:C:2020:791, CR 2021, 18 = ITRB 2020, 251 [Rössel]). Zudem müssten die Behörden die in der RL 2016/680 vorgesehenen Betroffenenrechte gewährleisten.
Keine vorherige Kontrolle erforderlich: Zwar sei nach st. Rspr. des Gerichts unabdingbar, dass der Zugang zu Verkehrs- und Standortdaten einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterworfen werde (vgl. zuletzt EuGH v. 5.4.2022 – C-140/20, CR 2022, 306). Allerdings sei diese Vorgabe nur im Kontext schwerer und besonders schwerer Grundrechtseingriffe (allgemeiner Zugang zu allen gespeicherten Verkehrs- und Standortdaten) entwickelt worden. Mithin bestehe grundsätzlich kein vorheriges Kontrollerfordernis, wenn vorbeschriebene Anforderungen eingehalten würden und damit kein schwerer Grundrechtseingriff gegeben sei. Dies ändere sich aber, wenn die Intensität der Grundrechtsbeeinträchtigungen im Laufe der Stufen des vorgesehenen Verwaltungsverfahrens – wie hier – allmählich zunehme. Auch mit Blick auf die große Anzahl derartiger Verfahren dürfe eine erforderliche Kontrolle nicht vollständig automatisiert werden, da die Verhältnismäßigkeitsprüfung zwingend das Tätigwerden einer natürlichen Person erfordere.
Verhältnismäßigkeit: Im Rahmen der von Art. 15 Abs. 1 Satz 1 RL 2002/58 vorgeschriebenen Verhältnismäßigkeitsprüfung sei insb. zu berücksichtigen, dass bei online begangenen Straftaten der Zugang zu IP-Adressen die einzige Ermittlungsmaßnahme darstellen könne. Würde der Zugang nicht gestattet, bestünde eine echte Gefahr der systemischen Straflosigkeit. Zwar sei der Zugang zu Identitätsdaten über die IP-Adresse nicht zwangsläufig die einzige mögliche Maßnahme zur Identifizierung. So könnten bspw. auch alle Online-Aktivitäten einer Person, etwa in sozialen Netzwerken, geprüft werden. Derartige Ermittlungsmaßnahmen wären indes besonders einschneidend und ein noch schwererer Grundrechtseingriff.