Zum Verordnungsvorschlag COM(2020) 568 final
Dieses Dokument ist Teil der Anfrage „Unveröffentlichte Ausarbeitungen des Wissenschaftlichen Dienstes“
Anlag® 7 Deutscher Bundestag Unterabteilung Europa Fachbereich Europa N > Ausarbeitung Zum Verordnungsvorschlag COM(2020) 568 final © 2021 Deutscher Bundestag PE 6 - 3000 - 010/21
Unterabteilung Europa Ausarbeitung Fachbereich Europa PE 6 - 3000 - 010/21 Zum Verordnungsvorschlag COM(2020) 568 final Aktenzeichen: PE 6 - 3000 - 010/21 Abschluss der Arbeit: 3. März 2021 Fachbereich: PE 6: Fachbereich Europa Seite 2 Die Arbeiten des Fachbereichs Europa geben nicht die Auffassung des Deutschen Bundestages, eines seiner Organe oder der Bundestagsvorwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Arbeiten des Fachbereichs Europa geben nur den zum Zeitpunkt der Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegen, geschützte oder andere nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist vorab der Fachbereichsleitung anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die dabei zu berücksichtigenden Fragen.
Unterabteilung Europa Ausarbeitung Seite 3 Fachbereich Europa PE 6 - 3000 - 010/21 Inhaltsverzeichnis 1. Einleitung 4 2. Der Verordnungsvorschlag COM(2020) 568 final 4 3. Zu den genannten Urteilen des EuGH 5 3.1. EuGH, Urteil vom 6. Oktober 2020, verbundene Rs. C-511/18, C- 512/18 und C-520/18, La Quadrature du Net u.a. 5 3,2. EuGH, Urteil vom 6. Oktober 2015, Rs. C-362/14, Schrems 7 4. Zum Einsatz der Technik unter aktuellem und geplantem Sekundärrecht und dem unionsrechtlichen Prüfungsmaßstab für die geplanten Regelungen 9 5. Zum künftigen EU-Rechtsakt 14 6. Zusammenfassung 14
Unterabteilung Europa Ausarbeitung Seite 4
Fachbereich Europa PE 6 - 3000 - 010/21
1. Einleitung
Der Fachbereich Europa ist um die Prüfung gebeten worden,
-ob die bisherige Praxis des Einsatzes von Technik durch nummernunabhängige interpersonelle
Kommunikationsdienste zur Aufdeckung und Meldung von sexuellem Missbrauch von Kindern
nach geltendem Recht und unter Berücksichtigung der Rechtsprechung (EuGH, Urt. v. 6. Oktober
2015, Rs. C-362/14; EuGH, Urt. v. 6. Oktober 2020, Rs. C-511/18) im Einklang mit dem
Verhältnismäßigkeitsgebot steht, welches u.a. in der DSGVO! verankert ist;
-ob der Verordnungsvorschlag COM(2020) 568 final, der diese Praxis vom Anwendungsbereich
der Art. 5 Abs. 1 und Art. 6 der ePrivacy-Richtlinie ausnimmt, unter Berücksichtigung der
genannten Rechtsprechung im Einklang mit dem Verhältnismäßigkeitsgebot steht, welches nach
der Charta? zu beachten ist;
-ob ein EU-Rechtsakt, der diese Praxis verpflichtend für alle Anbieter einführt, unter
Berücksichtigung der genannten Rechtsprechung im Einklang mit dem
Verhältnismäßigkeitsgebot steht, welches nach der Charta zu beachten ist, und ob die
Bundesregierung einen solchen Rechtsakt bei drohendem Verstoß gegen die Charta im Rat
ablehnen muss.
Zunächst sollen der Verordnungsvorschlag COM(2020) 568 final sowie die beiden von der
Auftraggeberin genannten EuGH-Urteile dargestellt werden. Anschließend erfolgt eine
Beurteilung der Praxis nach dem derzeit geltenden Unionsrecht und des Verordnungsvorschlags.
2. Der Verordnungsvorschlag COM(2020) 568 final
Aufgrund der neuen Begriffsbestimmung für elektronische Kommunikationsdienste im
europäischen Kodex für Kommunikation’, die auch nummernunabhängige interpersonelle
Kommunikationsdienste einschließt, werden diese Dienste nunmehr auch von der ePrivacy-
Richtlinie? erfasst. Letztere gewährleistet den Schutz der Privatsphäre, der Vertraulichkeit der
Kommunikation und der personenbezogenen Daten im Bereich der elektronischen
Kommunikation und setzt die Art. 7 und 8 der Charta in das Sekundärrecht um.’ Da die ePrivacy-
Richtlinie keine explizite Rechtsgrundlage für die freiwillige Verarbeitung von Inhalts- oder
! Verordnung {EU} 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur
Aufhebung der Richtlinie 95/46/EG (Datenschulz-Grundverordnung).
Charta der Grundrechte der Europäischen Union.
Richtlinie {EU} 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den
europäischen Kodex für die elektronische Kommunikation (Neufassung).
Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung
personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation.
> Vgl. COM(2020) 568 final, 5.1.
Unterabteilung Europa Ausarbeitung Seite 5 Fachbereich Europa PE 6 - 3000 - 010/21 Verkehrsdaten zum Zwecke der Aufdeckung des sexuellen Missbrauchs von Kindern im Internet beinhaltet, sollen diese Maßnahmen mit der vorgeschlagenen Verordnung vom Anwendungsbereich der Art. 5 Abs. 1 und Art. 6 der ePrivacy-Richtlinie ausgenommen werden.°® Nach Ansicht der Kommission steht dies im Einklang mit Art. 7 und Art. 8 der Charta.’ 3. Zu den genannten Urteilen des EuGH 3.1. EuGH, Urteil vom 6. Oktober 2020, verbundene Rs. C-511/18, C-512/18 und C-520/18, La Quadrature du Net u.a. In den von französischen und belgischen Gerichten initiierten Vorabentscheidungsverfahren geht es um verschiedene nationale Regelungen, die verschiedene Formen der Vorratsdatenspeicherung vorsehen, und ihre Vereinbarkeit u.a. mit der ePrivacy-Richtlinie sowie der Charta. Der EuGH antwortete, dass Art. 15 Abs. 1 der ePrivacy-Richtlinie im Licht der Art. 7,8 und 11 sowie Art. 52 Abs. 1 der Charta dahingehend auszulegen ist, dass er Rechtsvorschriften entgegensteht, die zu den in dessen Abs. 1 genannten Zwecken präventiv eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen. Für einige Konstellationen nimmt er jedoch Ausnahmen davon an. Dies sind Fälle, die — u.a. jeweils zur Bekämpfung schwerer Kriminalität — auf der Grundlage objektiver und nicht diskriminierender Kriterien anhand von Kategorien betroffener Personen für einen auf das absolut Notwendige begrenzten, aber verlängerbaren Zeitraum eine gezielte Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen; für einen auf das absolut Notwendige begrenzten Zeitraum eine allgemeine und unterschiedslose Vorratsspeicherung der IP-Adressen, die der Quelle einer Verbindung zugewiesen sind, vorsehen; eine allgemeine und unterschiedslose Vorratsspeicherung der die Identität der Nutzer elektronischer Kommunikationsmittel betreffenden Daten vorsehen und den Betreibern elektronischer Kommunikationsdienste mittels einer Entscheidung der zuständigen Behörde, die einer wirksamen gerichtlichen Kontrolle unterliegt, aufgeben, während eines festgelegten Zeitraums die ihnen zur Verfügung stehenden Verkehrs- und Standortdaten umgehend zu sichern. Dabei müssen diese Rechtsvorschriften durch klare und präzise Regeln sicherstellen, dass bei der Speicherung der fraglichen Daten die für sie geltenden materiellen und prozeduralen Voraussetzungen eingehalten werden und dass die Betroffenen über wirksame Garantien zum Schutz vor Missbrauchsrisiken verfügen. Die weiteren vom EuGH entschiedenen Konstellationen beziehen sich auf das Vorliegen einer ernsten Bedrohung für die nationale Sicherheit beziehungsweise auf den Verdacht terroristischer Aktivitäten. Diesbezüglich steht das genannte Unionsrecht u. a. einer nationalen Regelung nicht entgegen, die in engen Grenzen eine automatisierte Analyse von Verkehrs- und Standortdaten zulässt. & Vgl. COM(2020) 568 final, S. 2. ? Vgl. COM(2020) 568 final, S. 5.
Unterabteilung Europa Ausarbeitung Seite 6 Fachbereich Europa PE 6 - 3000 - 010/21 Zudem äußert sich der EuGH zum Anwendungsbereich der Richtlinie 2000/31/EG° und stellt fest, dass Art. 23 der DSGVO im Licht der Art. 7, 8 und 11 sowie von Art. 52 Abs. 1 der Charta dahin auszulegen ist, dass er einer nationalen Regelung entgegensteht, mit der den Anbietern eines öffentlichen Online-Zugangs zu Kommunikationsdiensten und den Betreibern von Hosting- Diensten eine allgemeine und unterschiedslose Vorratsspeicherung insbesondere von personenbezogenen Daten im Zusammenhang mit diesen Daten auferlegt wird. Zuletzt nimmt der EuGH zu einer durch: nationales Recht angeordneten zeitlich beschränkten (Weiter-)Geltung unionsrechtswidriger Vorschriften sowie zur strafprozessrechtlichen Verwertbarkeit von unter Verstoß gegen Unionsrecht gewonnener Beweise Stellung. Folgende Ausführungen des EuGH sind für die vorliegende Ausarbeitung relevant: Nach Art 52 Abs. 1 der Charta sind Einschränkungen der die Einhaltung der Privatsphäre und den Schutz personenbezogener Daten garantierenden Art. 7 und 8 der Charta zulässig, sofern sie gesetzlich vorgesehen sind und den Wesensgehalt dieser Rechte achten.” Die entsprechenden Vorschiften müssen unter Wahrung des Verhältnismäßigkeitsgrundsatzes erforderlich sein und den von der Union anerkannten, dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen.‘ Dabei ist zu berücksichtigen, welche Bedeutung den in Art. 3,4, 6 und 7 der Charta verankerten Rechten und den Zielen bei der Bekämpfung schwerer Kriminalität als Beitrag zum Schutz der Rechte und Freiheiten anderer zukommt.'' Der EuGH betont, dass sich in Bezug auf die Bekämpfung von Straftaten, derer Opfer u. a. Minderjährige sind, aus Art. 7 der Charta auch positive Verpflichtungen der Behörden im Hinblick auf den Erlass rechtlicher Maßnahmen ergeben können." „Insbesondere geht aus der Rechtsprechung des Gerichtshofs hervor, dass die Möglichkeit für Mitgliedstaaten, eine Beschränkung der u. a. in den Art. 5, 6 und 9 der Richtlinie 2002/58 vorgesehenen Rechte und Pflichten zu rechtfertigen, lin der Weise] zu beurteilen ist, indem die Schwere des mit einer solchen Beschränkung verbundenen Eingriffs bestimmt und geprüft wird, ob die verfolgte dem Gemeinwohl dienende Zielsetzung in angemessenem Verhältnis zur Schwere des Eingriffs steht.”” Um dem Erfordernis der Verhältnismäßigkeit zu genügen, muss eine Regelung klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und Mindesterfordernisse aufstellen, so dass die Personen, deren personenbezogene Daten betroffen sind, über ausreichende Garantien verfügen, die einen Richtlinie des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt (Richtlinie über den elektronischen Geschäftsverkehr). 8 EuGH, Urt. v. 6.10.2020, verb. Rs. C-511/18, C-51 2/18 und C-520/18, Rn. 113. 20 EuGH, Urt. v. 6.10.2020, verb. Rs. C-511/18, C-512/18 und C-520/18, Rn. 121. nr EuGH, Urt. v. 6.10.2020, verb, Rs. C-511/18, C-512/18 und C-520/18, Rn. 122. 12 EuGH, Urt. v. 6.10.2020, verb. Rs. C-511/18, C-512/18 und C-520/18, Rn. 126. 13 EuGH, Urt. v. 6.10.2020, verb. Rs. C-511/18, 0-512/18 und C-520/18, Rn. 131.
Unterabteilung Europa Ausarbeitung Seite 7 Fachbereich Europa PE 6 - 3000 - 010/21 an wirksamen Schutz dieser Daten vor Missbrauchsrisiken ermöglichen.“'* Es muss gewährleistet sein, dass sich Eingriffe auf das absolut Notwendige beschränken." „Eine Regelung, die eine Vorratsspeicherung personenbezogener Daten vorsieht, muss daher stets objektiven Kriterien genügen, die einen Zusammenhang zwischen den zu speichernden Daten und dem verfolgten Ziel herstellen [...1." [...] Was das Ziel der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten anbelangt, [ist] im Einklang mit dem Grundsatz der Verhältnismäßigkeit nur die Bekämpfung schwerer Kriminalität [...] geeignet, die mit der Speicherung von Verkehrs- und Standortdaten verbundenen schweren Eingriffe in die Grundrechte, die in Art. 7 und 8 der Charta verankert sind, zu rechtfertigen.“ Einen aus einer automatisierten Analyse der Verkehrs- und Standortdaten resultierende Eingriff stuft der EuGH als besonders schwerwiegend ein, sofern diese sich allgemein und unterschiedslos auf die Daten der Nutzer elektronischer Kommunikationsmittel erstreckt, was umso mehr gilt, als sich den Daten, die Gegenstand der automatisierten Analyse sind, die Art der im Internet konsultierten Informationen entnehmen lässt.'® Der EuGH stellt zur Rechtfertigung eines solchen Eingriffs fest, „dass das in Art. 52 Abs. 1 der Charta aufgestellte Erfordernis einer gesetzlichen Grundlage für jede Einschränkung der Ausübung von Grundrechten bedeutet, dass die gesetzliche Grundlage für den Eingriff selbst festlegen muss, in welchem Umfang die Ausübung des betreffenden Rechts eingeschränkt wird [...1.'° Der EuGH verlangt aufgrund der zwangsläufigen Fehlerquote, dass jedes durch eine automatisierte Verarbeitung erlangte positive Ergebnis individuell mit nicht automatisierten Mitteln überprüft wird, bevor eine individuelle Maßnahme mit nachteiligen Auswirkungen auf die betroffene Person getroffen wird.” Die im Voraus festgelegten Modelle und Kriterien, auf denen die automatisierte Datenverarbeitung beruht, müssen zum einen spezifisch und zuverlässig sein, so dass sie zu Ergebnissen führen, die es ermöglichen, Personen zu identifizieren, gegen die ein begründeter Verdacht der Beteiligung an entsprechenden Straftaten bestehen könnte, und dürfen zum anderen nicht diskriminierend sein.”' Zudem müssen sie regelmäßig auf ihre Zuverlässigkeit und Aktualität überprüft werden.” 3.2. EuGH, Urteil vom 6. Oktober 2015, Rs. G-362/14, Schrems Im Ausgangsverfahren geht es um einen österreichischen Staatsangehörigen, Dieser legte bei dem irischen Datenschutzbeauftragten eine Beschwerde ein. Mit dieser forderte er ihn im Wesentlichen auf, in Ausübung der ihm übertragenen Befugnisse Facebook Ireland die 14 EuGH, Urt. v. 6.10.2020, verb. Rs. C-511/18, C-512/18 und C-520/18, Rn. 132. 15 EuGH, Urt. v. 6.10.2020, verb. Rs. C-511/18, C-512/18 und C-520/18, Rn. 132. 16 EuGH, Urt. v. 6.10.2020, verb. Rs. C-511/18. C-512/18 und C-520/18, Rn. 133. 7 EuGH. Urt. v. 6.10.2020, verb. Rs. GC-511/18, C-512/18 und C-520/18, Rn. 140. 1 EuGH, Urt. v. 6.10.2020, verb. Rs. C-511/18, C-512/18 und C-520/18, Rn. 174. us EuGH, Urt. v. 6.10.2020, verb. Rs. C-511/18, C-512/18 und C-520/18, Rn. 175. 20 EuGH, Urt. v. 6.10.2020, verb. Rs. C-511/18, C-512/18 und C-520/18, Rn. 182. a EuGH, Ur .v. 6.10.2020, verb. Rs. C-511/18, C-512/18 und C-520/18, Rn. 180. 22 EuGH. Urt. v. 6.10.2020, verb. Rs. G-511/18, C-512/18 und C-520/18, Rn. 182.
Unterabteilung Europa Ausarbeitung Seite 8 Fachbereich Europa PE 6 - 3000 - 010/21 nn —— Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten zu untersagen. Seiner Ansicht nach gewährleisteten das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in diesem Land gespeicherten personenbezogenen Daten vor den Überwachungstätigkeiten der dortigen Behörden. Der irische Datenschutzbeauftragte wies die Beschwerde als unbegründet zurück. Dies begründete er u.a. damit, dass die Kommission in ihrer Entscheidung 2000/520 festgestellt hatte, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisten. Der angerufene High Court war der Ansicht, dass die Entscheidung 2000/520 weder den Anforderungen der Art. 7 und 8 der Charta genüge noch den vom Gerichtshof im Urteil Digital Rights Ireland u.a. (C-293/12 und C-594/12) aufgestellten Grundsätzen. Das u.a. durch Art. 7 der Charta gewährleistete Recht auf Achtung der Privatsphäre stünde dem in beliebiger und pauschaler Weise (ohne jede auf Erwägungen der nationalen Sicherheit oder der Verbrechensverhütung, die speziell mit den Betroffenen in Zusammenhang stünden, basierende objektive Rechtfertigung und ohne angemessene und nachprüfbare Schutzmechanismen) erfolgenden Zugriff von Behörden entgegen. Er legte dem Gerichtshof Fragen betreffend die Kontrollbefugnisse unabhängiger Amtsträger hinsichtlich der Übermittlung personenbezogener Daten in ein Drittland zur Vorabentscheidung vor. Der EuGH stellte diesbezüglich fest, dass die Übermittlung personenbezogener Daten aus einem Mitgliedstaat in ein Drittland eine Verarbeitung personenbezogener Daten i.S.d. Richtlinie 95/46 (Vorgängerin der DSGVO) darstellt und die nationalen Kontrollstellen gemäß Art. 8 Abs. 3 der Charta und Art. 28 der Richtlinie 95/46 befugt sind, die Einhaltung der entsprechenden Anforderungen zu prüfen. Eine solche Übermittlung ist nach Art. 25 Abs. 1 der Richtlinie 95/46 zulässig, wenn die Drittländer ein angemessenes Schutzniveau gewährleisten. Auf Grundlage des Art. 25 Abs. 6 der Richtlinie 95/46 kann die Kommission eine Entscheidung erlassen, in der sie feststellt, dass ein Drittland ein solches Schutzniveau gewährleistet. Eine solche Entscheidung bindet nach Art. 288 Abs. 4 AEUV alle Mitgliedstaaten und ist für deren Organe verbindlich. Die Kontrollbefugnisse der nationalen Kontrollstellen werden dadurch aber weder beseitigt noch beschränkt. Die vom Kläger des Ausgangsverfahrens eingelegte Beschwerde ist dahin zu verstehen, dass sie der Sache nach die Vereinbarkeit einer solchen Entscheidung der Kommission mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen betrifft. Zum Schutzniveau im vorliegenden Fall äußerte sich der EuGH wie folgt: Der Ausdruck „angemessenes Schutzniveau“ ist so zu verstehen, dass das Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleistet, dass dem in der Union aufgrund der Richtlinie 95/46 im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Die Mittel, auf die das Drittland zurückgreift, um ein solches Schutzniveau zu gewährleisten, müssen sich in der Praxis als wirksam erweisen. Die Grundsätze des „sicheren Hafens“ gelten nur für selbstzertifizierte US-Organisationen, ohne dass von den amerikanischen Behörden deren Einhaltung verlangt wird. Zudem kann die Geltung dieser Grundsätze begrenzt werden. Wenn die Grundsätze in Widerstreit zu Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen stehen, müssen sie sogar generell unangewandt bleiben. Zweifel bestehen hier an der gerichtlichen Überprüfbarkeit solcher staatlichen Maßnahmen. In der von der Kommission selbst vorgenommenen Beurteilung der Sachlage stellte sie selbst fest, dass die amerikanischen Behörden auf die aus den Mitgliedstaaten in die Vereinigten Staaten übermittelten personenbezogenen Daten zugreifen und sie in einer Weise
Unterabteilung Europa Ausarbeitung Seite 9
Fachbereich Europa PE 6 - 3000 - 010/21
verarbeiten konnten, die namentlich mit den Zielsetzungen ihrer Übermittlung unvereinbar war
und über das hinausging, was zum Schutz der nationalen Sicherheit absolut notwendig und
verhältnismäßig war und es keine administrativen oder gerichtlichen Rechtsbehelfe für die
Betroffenen gab.
Zu den Anforderungen an unionsrechtliche Regelungen, die die Rechte aus Art. 7, 8 der Charta
einschränken, äußerte sich der EuGH (verallgemeinerungsfähig) wie folgt:
„Zu dem innerhalb der Union garantierten Schutzniveau der Freiheiten und Grundrechte ist
festzustellen. dass eine Unionsregelung, die einen Eingriff in die durch die Art. 7 und 8 der
Charta garantierten Grundrechte enthält, nach ständiger Rechtsprechung des Gerichtshofs klare
und präzise Regeln für die Tragweite und die Anwendung einer Maßnahme vorsehen und
Mindestanforderungen aufstellen muss, so dass die Personen, deren personenbezogene Daten
betroffen sind, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten
und jeder unberechtigten Nutzung ermöglichen. Das Erfordernis, über solche Garantien zu
verfügen, ist umso bedeutsamer, wenn die personenbezogenen Daten automatisch verarbeitet
werden und eine erhebliche Gefahr des unberechtigten Zugangs zu ihnen besteht [...]. Darüber
hinaus verlangt der Schutz des Grundrechts auf Achtung des Privatlebens auf Unionsebene vor
allem, dass sich die Ausnahmen vom. Schutz personenbezogener Daten und dessen
Einschränkungen auf das absolut Notwendige beschränken [...]. Nicht auf das absolut
Notwendige beschränkt ist eine Regelung, die generell die Speicherung aller personenbezogenen
Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt
wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des
verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht,
den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt
begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit
deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen [...].“”? (Unterstreichungen
hinzugefügt)
4. Zum Einsatz der Technik unter aktuellem und geplantem Sekundärrecht und dem
unionsrechtlichen Prüfungsmaßstab für die geplanten Regelungen
Nach aktuell geltendem Unionsrecht werden die nummernunabhängigen interpersonellen
Kommunikationsdienste von der ePrivacy-Richtlinie erfasst. Die vorliegend relevanten
Vorschriften lauten:
Art. 5 Abs. 1: „Die Mitgliedstaaten stellen die Vertraulichkeit der mit öffentlichen
Kommunikationsnetzen und öffentlich zugänglichen Kommunikationsdiensten übertragenen
Nachrichten und der damit verbundenen Verkehrsdaten durch innerstaatliche Vorschriften
sicher. Insbesondere untersagen sie das Mithören, Abhören und Speichern sowie andere Arten
des Abfangens oder Überwachens von Nachrichten und der damit verbundenen Verkehrsdaten
durch andere Personen als die Nutzer, wenn keine Einwilligung der betroffenen Nutzer vorliegt
es sei denn, dass diese Personen gemäß Artikel 15 Absatz 1 gesetzlich dazu ermächtigt sind.
Diese Bestimmung steht — unbeschadet des Grundsatzes der Vertraulichkeit — der für die
23 EuGH, Urt. v. 6.10.2015, Rs. C-362/14. Rn. 91 ff.
Unterabteilung Europa Ausarbeitung Seile 10 Fachbereich Europa PE 6 - 3000 - 010/21 Weiterleitung einer Nachricht erforderlichen technischen Speicherung nichtentgegen.“ (Unterstreichungen hinzugefügt) Art. 6 Abs. 1: „Verkehrsdaten, die sich auf Teilnehmer und Nuüutzerbeziehen und vom Betreiber eines öffentlichen Kommunikationsnetzes oder eines öffentlich zugänglichen Kommunikationsdienstes verarbeitet und gespeichert werden, sind unbeschadet der Absätze 2, 3 und 5 des vorliegenden Artikels und des Artikels 15 Absatz 1 zu löschen oder zu anonymisieren sobald sie für die Übertragung einer Nachricht nicht mehr benötigt werden.“ (Unterstreichungen hinzugefügt) Der Einsatz von Technik, die sämtliche Nachrichten automatisiert auf sexuellen Kindesmissbrauch durchsucht, stellt ein Überwachen im Sinne des Art. 5 Abs. 1 der ePrivacy- Richtlinie dar und ist demnach zu untersagen, sofern keine Einwilligung der betroffenen Nutzer oder eine entsprechende gesetzliche Ermächtigung nach Art. 15 Abs. 1 der ePrivacy-Richtlinie vorliegt. In diesem Falle würde die Speicherung dieser Daten zum Zwecke der Meldung an weitere Organisationen gegen Art. 6 Abs. 1 der ePrivacy-Richtlinie verstoßen, der eine Löschung oder Anonymisierung der Verkehrsdaten verlangt, sobald sie für die Übertragung einer Nachricht nicht mehr benötigt werden. Nach dem aktuellen gesetzlichen Stand, nach dem nummernunabhängige interpersonelle Kommunikationsdienste in den Anwendungsbereich der ePrivacy-Richtlinie fallen, dürfte die beschriebene Praxis wegen Verstoßes gegen Art. 5 Abs. 1 und 6 der ePrivacy-Richtlinie unionsrechtswidrig sein. Die nunmehr vorgeschlagene Verordnung sieht in ihrem Art. 3 Satz 1 vor, dass die Art. 5 Abs. 1 und Art. 6 der ePrivacy-Richtlinie nicht gelten „für die Verarbeitung personenbezogener und anderer Daten im Zusammenhang mit der Bereitstellung nummernunabhängiger interpersoneller Kommunikationsdienste, wenn die Verarbeitung unbedingt erforderlich ist, damit Technik zum alleinigen Zweck der Entfernung von Material über sexuellen Kindesmissbrauch und der Aufdeckung und Meldung sexuellen Missbrauchs von Kindern im Internet an Strafverfolgungsbehörden und an Organisationen, die im öffentlichen Interesse gegen sexuellen Kindesmissbrauch vorgehen, verwendet werden kann [...]“, wobei die Ausnahme in lit. a) bis e) und Satz 2 der Vorschrift weitere Einschränkungen bzw. Konkretisierungen erfährt. Für die Unionsrechtmäßigkeit des Verordnungsvorschlags kommt es auf dessen Vereinbarkeit mit Art. 7 und 8 der Charta und deren Auslegung durch den EuGH an. Da die ePrivacy-Richtlinie und die DSGVO ebenso wie der Verordnungsvorschlag im Rang des unionalen Sekundärrechts stehen, stellen sie vorliegend keinen unionsrechtlichen Prüfungsmaßstab dar. Für gleichrangige Rechtsakte gilt die Kollisionsregel „lex posterior derogat legi priori“ auch im Unionsrecht, jedenfalls sofern — wie vorliegend — die Rechtsakte denselben Regelungsgegenstand betreffen.’ Nach Art. 7 der Charta „hat [jede Person] das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation“, welches auch die Vertraulichkeit 24 Nettesheim, in: Grabitz/Hilf/Nettesheunn, Das Recht der Europäischen Union, 71. EL August 2020, Art. 288 AEUV, Rn. 228, 229; Riesenhuber, in: Riesenhuber, Europäische Methodenlehre, 3. Auflage 2015, $ 10, Rn. 30.
