Inhalt und Gegenstand der Entscheidung
Die Klägerin, ein Telekommunikationsunternehmen, das Internetzugangsdienste erbringt, wandte sich gegen die ihr zuerst durch § 113a Abs. 1 TKG i.V.m. § 113b TKG i.d.F. des Gesetzes vom 10.12.2015 (BGBl I, 2218 ff.) auferlegte und nunmehr inhaltlich weitestgehend unverändert in § 175 Abs. 1 Satz 1 TKG i.V.m. § 176 TKG geregelte Verpflichtung, Telekommunikations-Verkehrsdaten ihrer Kunden auf Vorrat zu speichern. Die für eine Dauer von zehn Wochen zu speichernden Daten umfassen u.a. die Rufnummern der beteiligten Anschlüsse, Beginn und Ende der Verbindung oder der Internetnutzung bzw. die Zeitpunkte der Versendung und des Empfangs einer Kurznachricht, zugewiesene IP-Adressen und Benutzerkennungen sowie Kennungen der Anschlüsse und Endgeräte. Für eine Dauer von vier Wochen zu speichern sind zudem Standortdaten, d.h. im Wesentlichen die Bezeichnung der bei Beginn der Verbindung genutzten Funkzelle.
Das Verwaltungsgericht stellte auf die Klage fest, dass die Klägerin nicht verpflichtet ist, die im Gesetz genannten Telekommunikations-Verkehrsdaten ihrer Kunden, denen sie den Internetzugang vermitteln, zu speichern. Die Speicherpflicht verstoße gegen Unionsrecht und sei daher im Fall der Klägerin unanwendbar. Die grundsätzlichen Rechtsfragen seien durch den EuGH geklärt. Auf die Sprungrevision der Beklagten, vertreten durch die Bundesnetzagentur (BNetzA), setzte das BVerwG das Verfahren aus und holte eine Vorabentscheidung des EuGH gemäß Art. 267 AEUV ein (BVerwG, Beschl. v. 25.09.2019 - 6 C 12/18 - Buchholz 442.066 § 113a TKG Nr 1).
Nach Beantwortung der Vorlagefrage durch den EuGH (Urt. v. 20.09.2022 - C-793/19 und C-794/19 „Space Net u.a.“, ber. d. Beschl. v. 27.10.2022), hat das BVerwG die Revision der Beklagten zurückgewiesen. Dabei hat es den auf § 113a Abs. 1 TKG a.F. i.V.m. § 113b TKG a.F. bezogenen Feststellungsausspruch des Verwaltungsgerichts durch die Bezugnahme auf die nunmehr maßgeblichen Vorschriften in § 175 Abs. 1 Satz 1 TKG i.V.m. § 176 TKG modifiziert.
In den Gründen behandelt das BVerwG zunächst die Zulässigkeit der Feststellungsklage nach § 43 VwGO. Zwischen den Beteiligten stehe ein konkretes und damit feststellungsfähiges Rechtsverhältnis in Streit. Dessen Gegenstand sei das Bestehen der Verpflichtung der Klägerin, als Anbieterin öffentlich zugänglicher Internetzugangsdienste (§ 175 Abs. 1 Satz 1 TKG) gemäß § 176 Abs. 3 Nr. 1 bis 3 TKG die dort im Einzelnen genannten Daten zu speichern. Es bedürfe keiner Aktualisierung der gesetzlichen Speicherpflichten durch einen behördlichen Vollzugsakt. Denn bei den Regelungen der §§ 175, 176 TKG handle es sich um sog. „self-executing“ Normen, die von den betroffenen Unternehmen unmittelbar beachtet werden müssten. Das konkrete Rechtsverhältnis sei streitig, denn die Beklagte habe ihren Rechtsstandpunkt ungeachtet des Urteils des EuGH vom 20.09.2022 bisher nicht erkennbar aufgegeben. Die Klägerin habe das erforderliche berechtigte Interesse an der begehrten Feststellung. Der Zulässigkeit der Feststellungsklage stehe schließlich nicht das Subsidiaritätsgebot des § 43 Abs. 2 Satz 1 VwGO entgegen. Die Feststellungsklage biete gegenüber einer Gestaltungs- oder Leistungsklage den sachgerechten und effektiveren Rechtsschutz. Denn die Klägerin müsste ansonsten jede zur Durchsetzung erlassene Einzelmaßnahme der BNetzA gesondert angreifen, obwohl es ihr allein um die Klärung der Vorfrage gehe, ob die gesetzliche Pflicht zur Speicherung überhaupt besteht.
Die Ausführungen des BVerwG zur Begründetheit der Feststellungsklage folgen der Vorabentscheidung des EuGH vom 20.09.2022: Hierdurch sei geklärt, dass die in § 113a Abs. 1 TKG a.F. i.V.m. § 113b TKG a.F. angeordnete Speicherpflicht gegen Unionsrecht verstieß. Dies gelte entsprechend für die in § 175 Abs. 1 Satz 1 TKG i.V.m. § 176 TKG inhaltlich unverändert geregelte Verpflichtung zur Speicherung der Telekommunikations-Verkehrsdaten. Die Regelung beschränke die in den Art. 5 Abs. 1, 6 Abs. 1 und 9 Abs. 1 der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) geregelten Rechte und Pflichten sowie die hierin zum Ausdruck kommenden Grundsätze der Vertraulichkeit der Kommunikation und des Verbots der Speicherung der damit verbundenen Daten. Die den Betreibern elektronischer Kommunikationsdienste auferlegte Verpflichtung zur Speicherung der Telekommunikations-Verkehrsdaten könne nicht auf Art. 15 Abs. 1 der Richtlinie gestützt werden. Dieser sei eng auszulegen und zähle die Zwecke, die eine Beschränkung der in der Richtlinie vorgesehenen Rechte und Pflichten rechtfertigen könnten, abschließend auf. Außerdem müssten die allgemeinen Grundsätze des Unionsrechts einschließlich des Grundsatzes der Verhältnismäßigkeit sowie die EU-Grundrechtecharta beachtet werden. Die Speicherung der Verkehrs- und Standortdaten stelle einen Eingriff in die in Art. 7 und 8 GRC verankerten Grundrechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten dar, unabhängig davon, ob die Informationen über das Privatleben sensiblen Charakter hätten und ob die Betroffenen durch diesen Eingriff Nachteile erlitten hätten oder ob die gespeicherten Daten in der Folge verwendet würden oder nicht. Denn die Verkehrs- und Standortdaten könnten Informationen über eine Vielzahl von Aspekten des Privatlebens enthalten und insbesondere die Erstellung eines Profils der Betroffenen ermöglichen. Daher könne die Vorratsspeicherung von Verkehrs- und Standortdaten zu polizeilichen Zwecken die Nutzer auch von der Ausübung ihrer durch Art. 11 GRC gewährleisteten Freiheit der Meinungsäußerung abhalten.
Um dem Erfordernis der Verhältnismäßigkeit zu genügen, müssten nationale Rechtsvorschriften klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und Mindesterfordernisse aufstellen. Sie müssten insbesondere Angaben dazu enthalten, unter welchen Umständen und unter welchen Voraussetzungen eine Maßnahme, die die Verarbeitung solcher Daten vorsehe, getroffen werden dürfe. Nationale Rechtsvorschriften, die eine Vorratsspeicherung personenbezogener Daten vorsähen, müssten daher stets objektiven Kriterien genügen, die einen Zusammenhang zwischen den zu speichernden Daten und dem verfolgten Ziel herstellen.
Hinsichtlich der Bedeutung der Ziele, die eine nach Art. 15 Abs. 1 der Richtlinie 2002/58/EG erlassene Vorschrift rechtfertigen könnten, bestehe nach dem Grundsatz der Verhältnismäßigkeit eine Hierarchie. Zum Schutz der nationalen Sicherheit könne den Betreibern elektronischer Kommunikationsdienste (auch) aufgegeben werden, Verkehrs- und Standortdaten allgemein und unterschiedslos auf Vorrat zu speichern. Solchen Rechtsvorschriften stehe Art. 15 Abs. 1 der Richtlinie 2002/58/EG im Licht der Art. 7, 8 und 11 GRC sowie von Art. 52 Abs. 1 GRC aber nur dann nicht entgegen, wenn sich der Mitgliedstaat einer als real und aktuell oder vorhersehbar einzustufenden ernsten Bedrohung für die nationale Sicherheit gegenübersehe, sofern diese Anordnung Gegenstand einer wirksamen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle sein könne, deren Entscheidung bindend sei, und die Anordnung nur für einen auf das absolut Notwendige begrenzten, aber verlängerbaren Zeitraum ergehe. Hingegen überschritten Rechtsvorschriften, die die allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten (nur) zur Bekämpfung schwerer Kriminalität und der Verhütung ernster Bedrohungen der öffentlichen Sicherheit vorsähen, angesichts des sensiblen Charakters der Informationen und der möglicherweise abschreckenden Wirkungen der Speicherung dieser Daten auf die Ausübung der in den Art. 7 und Art. 11 GRC verankerten Grundrechte in jedem Fall die Grenzen des absolut Notwendigen und könnten nicht als in einer demokratischen Gesellschaft gerechtfertigt werden.
Hinsichtlich der Frage, mit welchem Inhalt und unter welchen Voraussetzungen nationale Rechtsvorschriften, die zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit eine Vorratsspeicherung von Daten vorsehen, mit den unionsrechtlichen Vorgaben vereinbar sind, verweist das BVerwG auf die vom EuGH detailliert aufgezeigten Regelungsmöglichkeiten: Zulässig seien danach 1.) Regelungen, die auf der Grundlage objektiver und nicht diskriminierender Kriterien anhand von Kategorien betroffener Personen oder mittels eines geografischen Kriteriums für einen auf das absolut Notwendige begrenzten, aber verlängerbaren Zeitraum eine gezielte Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen, 2.) Regelungen, die für einen auf das absolut Notwendige begrenzten Zeitraum eine allgemeine und unterschiedslose Vorratsspeicherung der IP-Adressen, die der Quelle einer Verbindung zugewiesen sind, vorsehen, 3.) Regelungen, die eine allgemeine und unterschiedslose Vorratsspeicherung der die Identität der Nutzer elektronischer Kommunikationsmittel betreffenden Daten vorsehen, und 4.) Regelungen, die vorsehen, dass den Betreibern elektronischer Kommunikationsdienste mittels einer Entscheidung der zuständigen Behörde, die einer wirksamen gerichtlichen Kontrolle unterliegt, aufgegeben werden kann, während eines festgelegten Zeitraums die ihnen zur Verfügung stehenden Verkehrs- und Standortdaten umgehend zu sichern (quick freeze). Diese Rechtsvorschriften müssten durch klare und präzise Regeln sicherstellen, dass bei der Speicherung der fraglichen Daten die für sie geltenden materiellen und prozeduralen Voraussetzungen eingehalten werden und dass die Betroffenen über wirksame Garantien zum Schutz vor Missbrauchsrisiken verfügen.
Von diesen grundsätzlichen Vorgaben des Unionsrechts ausgehend nimmt das BVerwG die konkrete Regelung im TKG in den Blick. Die hierauf bezogenen Ausführungen des EuGH aufgreifend stellt das BVerwG fest, dass die in § 175 Abs. 1 Satz 1 TKG i.V.m. § 176 TKG (§ 113a Abs. 1 Satz 1 TKG a.F. i.V.m. § 113b TKG a.F.) geregelte Verpflichtung der Anbieter öffentlich zugänglicher Telekommunikationsdienste zur Speicherung der dort genannten Telekommunikations-Verkehrsdaten in vollem Umfang unvereinbar mit Art. 15 Abs. 1 der Richtlinie 2002/58/EG im Licht der Art. 7, 8 und 11 GRC sowie von Art. 52 Abs. 1 GRC ist. Denn die Regelung im TKG schreibe keine gezielte Vorratsdatenspeicherung, sondern eine anlasslose, flächendeckende und personell, zeitlich und geografisch undifferenzierte Vorratsspeicherung eines Großteils der Verkehrs- und Standortdaten vor. Die vom EuGH herausgearbeiteten engen Voraussetzungen hinsichtlich der Bestimmtheit und Normenklarheit der Regelung, der zulässigen Zwecke sowie der weiteren inhaltlichen und verfahrensmäßigen Anforderungen für eine solche Vorratsdatenspeicherung lägen nicht vor. Die im TKG geregelte Speicherung der Telekommunikations-Verkehrsdaten genüge insgesamt schon deshalb nicht den unionsrechtlichen Anforderungen, weil keine objektiven Kriterien bestimmt würden, die einen Zusammenhang zwischen den zu speichernden Daten und dem verfolgten Ziel herstellen. Die Normen im TKG sähen weder klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vor noch stellten sie Mindesterfordernisse mit dem Ziel auf, dass die Personen, deren personenbezogene Daten betroffen sind, über ausreichende Garantien verfügen, die einen wirksamen Schutz dieser Daten vor Missbrauchsrisiken ermöglichen. Insbesondere enthielten sie keine Angaben dazu, unter welchen Umständen und Voraussetzungen eine die Verarbeitung solcher Daten vorsehende Maßnahme getroffen werden dürfe, damit gewährleistet sei, dass sich der Eingriff auf das absolut Notwendige beschränke.
Zwar dürften – mit Ausnahme von IP-Adressen im Rahmen einer Bestandsdatenauskunft – die auf Vorrat gespeicherten Daten nach § 177 Abs. 1 TKG nur zur Verfolgung besonders schwerer Straftaten oder zur Abwehr einer konkreten Gefahr für Leib, Leben oder Freiheit einer Person oder für den Bestand des Bundes oder eines Landes verwendet werden. Da jedoch die Vorratsspeicherung der genannten Daten und der Zugang zu ihnen unterschiedliche Eingriffe in die in den Art. 7 und 11 GRC garantierten Grundrechte darstellten, die eine gesonderte Rechtfertigung nach Art. 52 Abs. 1 GRC erforderten, sei die Begrenzung der Verwendungszwecke in § 177 Abs. 1 TKG von vornherein nicht geeignet, die unionsrechtliche Anforderung klarer und präziser Regeln für die vorgelagerte Maßnahme der Speicherung der Daten zu erfüllen.
Hinsichtlich der weiteren Anforderungen differenziert das BVerwG zwischen den in § 176 Abs. 2 bis 4 TKG genannten Kategorien von Daten: Soweit § 175 Abs. 1 Satz 1 TKG i.V.m. § 176 Abs. 2 und 4 Sätze 1 und 3 TKG die Erbringung von Telefondiensten und in diesem Zusammenhang insbesondere die Daten betreffe, die erforderlich seien, um die Quelle und den Adressaten einer Nachricht, Datum und Uhrzeit von Beginn und Ende der Verbindung oder – im Fall der Übermittlung von Kurz-, Multimedia- oder ähnlichen Nachrichten – die Zeitpunkte der Versendung und des Empfangs der Nachricht sowie, im Fall der mobilen Nutzung, die Bezeichnung der Funkzellen, die vom Anrufer und vom Angerufenen bei Beginn der Verbindung genutzt wurden, zu identifizieren, fehle es an der vom EuGH geforderten strikten Begrenzung der allgemeinen und unterschiedslosen Vorratsspeicherung von Verkehrs- und Standortdaten auf den Zweck des Schutzes der nationalen Sicherheit.
Soweit sich die in § 175 Abs. 1 Satz 1 TKG i.V.m. § 176 Abs. 3 und 4 Sätze 2 und 3 TKG geregelte Pflicht zur allgemeinen und unterschiedslosen Vorratsspeicherung auf die Bereitstellung von Internetzugangsdiensten und in diesem Rahmen u.a. auf die dem Teilnehmer zugewiesene IP-Adresse, Datum und Uhrzeit von Beginn und Ende der Internetnutzung unter der zugewiesenen IP-Adresse und, im Fall der mobilen Nutzung, die Bezeichnung der bei Beginn der Internetverbindung genutzten Funkzelle beziehe, fehle es ebenfalls an der unionsrechtlich gebotenen Begrenzung der Zwecke. Diese umfassten im Fall der IP-Adressen zwar neben dem Schutz der nationalen Sicherheit auch die Bekämpfung schwerer Kriminalität und die Verhütung schwerer Bedrohungen der öffentlichen Sicherheit. Eine entsprechende Beschränkung der Speicherungszwecke sehe das TKG jedoch nicht vor. Die für die Ermittlung der Speicherungszwecke maßgebliche Regelung der Verwendungszwecke im Rahmen einer Bestandsdatenauskunft gehe deutlich über den unionsrechtlichen Rahmen hinaus. Die gelte auch für die nunmehr geltende Regelung in § 177 Abs. 1 Nr. 3 TKG i.V.m. § 174 Abs. 1 Satz 3 TKG, wobei in § 174 Abs. 5 TKG die Fälle geregelt seien, in denen die in eine Bestandsdatenauskunft aufzunehmenden Daten auch anhand einer zu einem bestimmten Zeitpunkt zugewiesenen IP-Adresse bestimmt werden dürften. So sehe etwa § 174 Abs. 5 Nr. 1 TKG keine Beschränkung auf die Bekämpfung schwerer Kriminalität vor. Der in § 174 Abs. 5 Nr. 2 Buchst. a, Nr. 4 Buchst. b Doppelbuchst. aa TKG genannte Schutz nicht unerheblicher Sachwerte könne jedenfalls nicht ohne Weiteres dem Zweck der Verhütung schwerer Bedrohungen der öffentlichen Sicherheit zugeordnet werden. Zudem fehle es auch in diesem Zusammenhang an einer Begrenzung der zu verhütenden Straftaten auf Fälle schwerer Kriminalität. Die Regelungen in § 174 Abs. 5 Nr. 5 Buchst. a TKG und § 174 Abs. 5 Nr. 7 Buchst. a TKG könnten nicht ohne Weiteres auf den unionsrechtlich zulässigen Zweck der Verhütung schwerer Bedrohungen der öffentlichen Sicherheit gestützt werden und gingen insbesondere auch über den Zweck des Schutzes der nationalen Sicherheit hinaus, den der EuGH nur dann für einschlägig halte, wenn tragende Strukturen eines Landes im Bereich der Verfassung, Politik oder Wirtschaft oder im sozialen Bereich in schwerwiegender Weise destabilisiert zu werden drohten.
Abschließend stellt das BVerwG fest, dass eine unionsrechtskonforme Auslegung der Regelungen im TKG zur Vorratsdatenspeicherung wegen des vom EuGH hervorgehobenen Grundsatzes der Bestimmtheit und Normenklarheit nicht in Betracht kommt. Im Ergebnis dürfe die Regelung im TKG wegen des Anwendungsvorrangs des Unionsrechts daher nicht angewendet werden.
Kontext der Entscheidung
Die Entscheidung bildet den vorläufigen Schlusspunkt einer langen Kette von Gerichtsentscheidungen zu der in Deutschland durch das Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen vom 21.12.2007 (BGBl I, 3198) erstmals eingeführten sog. anlasslosen Vorratsdatenspeicherung.
Hervorzuheben ist zunächst das Urteil des BVerfG vom 02.03.2010 (1 BvR 256, 263, 586/08 – BVerfGE 125, 260), durch das die §§ 113a und 113b TKG in der damals geltenden Fassung sowie § 100g Abs. 1 Satz 1 StPO, soweit danach Verkehrsdaten nach § 113a TKG (a.F.) erhoben werden durften, wegen Verstoßes gegen Art. 10 Abs. 1 GG für nichtig erklärt wurden.
In der Folgezeit erklärte der EuGH mit Urteil vom 08.04.2014 (C-293/12 und C-594/12 „Digital Rights Ireland Ltd u.a.“) die – auch dem deutschen Gesetz zugrunde liegende – (Vorratsdatenspeicherungs-)Richtlinie 2006/24/EG für ungültig, weil der Unionsgesetzgeber die Grenzen überschritten habe, die er zur Wahrung des Grundsatzes der Verhältnismäßigkeit im Hinblick auf die Art. 7, 8 und Art. 52 GRC einhalten musste. Die ebenfalls auf dieser Richtlinie beruhenden Regelungen zur Vorratsdatenspeicherung in zwei anderen Mitgliedstaaten waren Gegenstand des Urteils vom 21.12.2016 (C-203/15 und C-698/15 „Tele2 Sverige und Watson u.a.“), mit dem der EuGH auf Vorabentscheidungsersuchen der zuständigen nationalen Gerichte u.a. entschied, dass Art. 15 Abs. 1 der Richtlinie 2002/58/EG im Licht der Art. 7, 8 und Art. 11 GRC sowie des Art. 52 Abs. 1 GRC dahin auszulegen ist, dass er einer nationalen Regelung entgegensteht, die für Zwecke der Bekämpfung von Straftaten eine allgemeine und unterschiedslose Vorratsspeicherung sämtlicher Verkehrs- und Standortdaten aller Teilnehmer und registrierten Nutzer in Bezug auf alle elektronischen Kommunikationsmittel vorsieht. Zeitlich nach dem – die deutsche Neuregelung von 2015 betreffenden – Vorlagebeschluss des BVerwG vom 25.09.2019 ergingen auf Vorabentscheidungsersuchen verschiedener anderer nationaler Gerichte weitere Entscheidungen des EuGH (u.a. Urt. v. 06.10.2020 - C-511/18, C-512/18 und C-520/18 „La Quadrature du Net u.a.“; Urt. v. 05.04.2022 - C-140/20 „Commissioner of An Garda Síochána u. a.“), die die Vereinbarkeit der jeweiligen nationalen Regelungen zur Vorratsdatenspeicherung mit Art. 15 der Richtlinie 2002/58/EG im Licht der Art. 7, 8 und 11 sowie des Art. 52 Abs. 1 GRC betrafen.
Schließlich ist auf mehrere Kammerbeschlüsse hinzuweisen, mit denen das BVerfG die gegen die deutschen Regelungen zur anlasslosen Vorratsdatenspeicherung erhobenen Verfassungsbeschwerden nicht zur Entscheidung angenommen hat. Die Verfassungsbeschwerden seien unzulässig, weil aus ihrer Begründung nicht hervorgehe, inwieweit nach dem Urteil des EuGH vom 20.09.2022 (C-793/19, C-794/19 „SpaceNet AG u.a.“) noch ein Rechtsschutzbedürfnis für eine Prüfung der angegriffenen Vorschriften am Maßstab des GG fortbestehen sollte (BVerfG, Beschl. v. 15.02.2023 - 1 BvR 141/16 - ZD 2023, 407; BVerfG, Beschl. v. 14.02.2023 - 1 BvR 2683/16; BVerfG, Beschl. v. 14.02.2023 - 1 BvR 2845/16).