Am 3.5.2018 hat Generalanwalt Saugmandsgaard Øe dem Gerichtshof der Europäischen Union (EuGH) vorgeschlagen, dass auch Straftaten, die nicht von besonderer Schwere sind, einen Zugang zu grundlegenden Metadaten der elektronischen Kommunikation rechtfertigen können, solange dieser Zugang nicht zu einer schwerwiegenden Beeinträchtigung des Privatlebens führt.

Zugrunde liegender Sachverhalt  (Rs. C-207/16, Ministerio Fiscal)

Die spanische Kriminalpolizei beantragte beim Ermittlungsrichter, ihr im Rahmen einer Untersuchung wegen des Raubs einer Brieftasche und eines Mobiltelefons Zugang zu den Identifikationsdaten der Nutzer der Telefonnummern zu gewähren, die in einem Zeitraum von zwölf Tagen ab dem Tag des Raubs mit dem entwendeten Mobiltelefon angerufen wurden.

Der Ermittlungsrichter wies diesen Antrag u. a. mit der Begründung zurück, dass der den strafrechtlichen Ermittlungen zugrunde liegende Sachverhalt keine „schwere“ Straftat – d. h. nach spanischem Recht eine mit einer Freiheitsstrafe von mehr als fünf Jahren bedrohte Straftat – darstelle und der Zugang zu Identifikationsdaten in Spanien nur bei dieser Art von Straftaten möglich sei. Das Ministerio Fiscal (Staatsanwaltschaft) legte gegen diese Entscheidung bei der Audiencia Provincial de Tarragona (Regionalgericht Tarragona, Spanien) Berufung ein.

Vorgaben der ePrivacyRL

Die Datenschutzrichtlinie 2002/58/EG für elektronische Kommunikation sieht vor, dass die Mitgliedstaaten die Rechte der Bürger beschränken können, sofern eine solche Beschränkung für die nationale Sicherheit, die Landesverteidigung, die öffentliche Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig ist (zur Fortgeltung der ePrivacyRL neben der DSGVO siehe Kiparski/Sassenberg, "DSGVO und TK-Datenschutz – Ein komplexes europarechtliches Geflecht", CR 5/2018).

Rechtsprechungslinie des EuGH

Der EuGH hat in seinen Urteilen Digital Rights und Tele2 Sverige den Begriff der „schweren Straftaten“ verwendet, um die Rechtmäßigkeit und die Verhältnismäßigkeit eines Eingriffs in das Recht auf Achtung des Privat- und Familienlebens und das Recht auf Schutz personenbezogener Daten zu beurteilen, die beide in der Charta der Grundrechte der Europäischen Union verankert sind.

Vorlagefrage des spanischen Gerichts

Die Audiencia Provincial de Tarragona weist darauf hin, dass der spanische Gesetzgeber nach dem Erlass der Entscheidung des Ermittlungsrichters zwei alternative Kriterien für die Bestimmung der Schwere einer Straftat eingeführt habe, bei der die Speicherung und die Weitergabe von personenbezogenen Daten zulässig seien:

• Das erste Kriterium sei ein materielles Kriterium, das an das Vorliegen terroristischer Straftaten und von Straftaten, die im Rahmen einer kriminellen Gruppe oder Organisation begangen würden, anknüpfe.
• Das zweite Kriterium sei ein normativ-formales Kriterium, nämlich eine angedrohte Mindestfreiheitsstrafe von drei Jahren.

Das spanische Gericht betont, dass diese Mindeststrafe eine deutliche Mehrheit der Straftatbestände umfassen könne. Die Audiencia Provincial de Tarragona möchte daher vom Gerichtshof wissen, wie die Schwelle der Schwere der Straftaten zu bestimmen ist, ab der beim Zugang der zuständigen nationalen Behörden zu von Betreibern elektronischer Kommunikationsdienste gespeicherten personenbezogenen Daten im Hinblick auf die genannten Urteile ein Grundrechtseingriff gerechtfertigt sein kann.

Ansatz des Generalanwalts

In seinen Schlussanträgen stellt Generalanwalt Henrik Saugmandsgaard Øe zunächst fest, dass eine Maßnahme wie die im vorliegenden Fall von der Kriminalpolizei beantragte einen Eingriff in das Recht auf Achtung des Privat- und Familienlebens und das Recht auf Schutz personenbezogener Daten darstelle.

• Merkmal "schwerer Eingriff" in Vertraulichkeit elektronischer Kommunikation:
  Allerdings habe der EuGH in den Urteilen Digital Rights und Tele2 einen Zusammenhang zwischen der Schwere des festgestellten Eingriffs und der Schwere der Gründe, die diesen Eingriff rechtfertigen könnten, hergestellt. Um auf der Ebene der Rechtfertigung eines solchen Eingriffs das Vorliegen einer „schweren Straftat“ zu fordern, die es erlaube, vom Grundsatz der Vertraulichkeit der elektronischen Kommunikation abzuweichen, müsse es sich somit um einen schweren Eingriff handeln. An diesem Merkmal fehlt es nach Ansicht des Generalanwalts im vorliegenden Fall.

• Art des staatlichen Eingriffs:
  Der Generalanwalt führt weiter aus, dass die Art des in dieser Rechtssache in Rede stehenden Eingriffs sich von den Eingriffen unterscheide, um die es in den beiden genannten Urteilen gegangen sei. Es handle sich nämlich um eine gezielte Maßnahme, die auf die Möglichkeit eines Zugangs der zuständigen Behörden für die Zwecke einer strafrechtlichen Ermittlung zu Daten gerichtet sei, die von Dienstleistern für wirtschaftliche Zwecke gespeichert würden, und die ausschließlich die Identität (Name, Vorname und eventuell die Anschrift) einer begrenzten Gruppe von Teilnehmern oder Nutzern eines bestimmten Kommunikationsmittels betreffe, nämlich jene, deren Telefonnummer mit dem Mobiltelefon, dessen Diebstahl Gegenstand der Ermittlungen sei, in einem begrenzten Zeitraum, nämlich etwa zwölf Tagen, angerufen worden sei.

• Potentielle schädliche Folgen:
  Nach Ansicht des Generalanwalts sind die möglichen schädlichen Folgen für die von dem fraglichen Antrag auf Zugang betroffenen Personen sowohl moderat als auch begrenzt, da sie nicht für eine Verbreitung in der Öffentlichkeit bestimmt seien und die den Polizeibehörden eingeräumte Zugangsmöglichkeit von Verfahrensgarantien eingehegt sei, da sie einer richterlichen Kontrolle unterliege.
  Folglich sei der sich aus der Übermittlung dieser Daten über die Identität ergebende Eingriff nicht besonders schwer, weil diese Daten unter diesen besonderen Umständen die Intimität des Privatlebens der Betroffenen nicht unmittelbar und stark beeinträchtigten.

• Vorgabe der ePrivacyRL für Eingriffsrechtfertigung:
  Der Generalanwalt weist darauf hin, dass nach der ePRivacyRL eine Abweichung vom Grundsatz der Vertraulichkeit der elektronischen Kommunikation durch das Ziel des Allgemeininteresse gerechtfertigt sein könne, Straftaten zu verhüten und zu verfolgen, ohne dass deren Art näher bezeichnet würde. Die Straftaten, die die betreffende einschränkende Maßnahme rechtfertigten, müssten somit nicht zwingend als „schwer" im Sinne der Urteile Digital Rights und Tele2 zu qualifizieren sein.
  
  Nach Ansicht des Generalanwalts müssen nur dann, wenn der erlittene Eingriff besonders schwer ist, auch die Straftaten, die einen solchen Eingriff rechtfertigen, besonders schwer sein. Hingegen könnten im Fall eines nicht schweren Eingriffs (d. h., wenn die Daten, deren Übermittlung beantragt wird, das Privatleben nicht schwerwiegend beeinträchtigen) auch Straftaten, die nicht von besonderer Schwere seien, einen solchen Eingriff (d. h. den Zugang zu den begehrten Daten) rechtfertigen.

Schlussfolgerung des Generalanwalts für den vorgelegten Sachverhalt

Konkret vertritt der Generalanwalt die Auffassung, dass das Unionsrecht dem Zugang der zuständigen Behörden zu Identifikationsdaten, die im Besitz von Anbietern von Kommunikationsdiensten seien, nicht entgegenstehe, wenn diese Daten es gestatten, die möglichen Täter einer Straftat, die nicht schwer sei, aufzufinden.

Der Generalanwalt schließt daraus, dass die im vorliegenden Fall von der Kriminalpolizei beantragte Maßnahme im Licht der ePrivacyRL einen Eingriff in die durch die ePrivacyRL und die Charta gewährleisteten Grundrechte darstelle, der keinen ausreichenden Schweregrad erreiche, um einen solchen Zugang auf die Fälle zu beschränken, in denen die betreffende Straftat schwer sei.

EuGH, PM Nr. 59/18 v. 3.5.2018