Europarechtliche Vorgaben bezüglich der Sichtung von MobiltelefonenOrientierungssätze zur Anmerkung 1. Art. 4 Abs. 1 Buchst. c der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates ist im Licht der Art. 7 und 8 sowie von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass er einer nationalen Regelung, die den zuständigen Behörden die Möglichkeit gibt, zum Zweck der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten im Allgemeinen auf die auf einem Mobiltelefon gespeicherten Daten zuzugreifen, nicht entgegensteht, wenn diese Regelung
- die Art oder die Kategorien der betreffenden Straftaten hinreichend präzise definiert,
- die Wahrung des Grundsatzes der Verhältnismäßigkeit gewährleistet und
- die Ausübung dieser Möglichkeit, außer in hinreichend begründeten Eilfällen, einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterwirft.
2. Die Art. 13 und 54 der Richtlinie 2016/680 sind im Licht der Art. 47 und 52 Abs. 1 der Charta der Grundrechte dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, die es den zuständigen Behörden gestattet, zu versuchen, auf Daten zuzugreifen, die auf einem Mobiltelefon gespeichert sind, ohne die betroffene Person im Rahmen der einschlägigen nationalen Verfahren über die Gründe, auf denen die von einem Gericht oder einer unabhängigen Verwaltungsstelle erteilte Gestattung des Zugriffs auf die Daten beruht, zu informieren, sobald die Übermittlung dieser Informationen die den Behörden nach der Richtlinie obliegenden Aufgaben nicht mehr beeinträchtigen kann. - A.
Problemstellung Mit der Richtlinie (EU) 2016/680 hat die Europäische Union datenschutzrechtliche Bestimmungen zum Schutz personenbezogener Daten im Rahmen des Strafverfahrens eingeführt. Normiert wird insoweit ein Mindeststandard (vgl. Art. 1 Abs. 3 RL (EU) 2016/680). Die Mitgliedstaaten müssen vorsehen, dass die personenbezogenen Daten „für festgelegte, eindeutige und rechtmäßige Zwecke erhoben […] werden“ (Art. 4 Abs. 1 Buchst. b RL (EU) 2016/680) und das Übermaßverbot berücksichtigt wird (Art. 4 Abs. 1 Buchst. c RL (EU) 2016/680). Besondere Kategorien von Daten (Art. 10 RL (EU) 2016/680) dürfen nur in bestimmten Fällen verarbeitet werden. Der EuGH hatte sich im Rahmen eines Vorabentscheidungsersuchens mit der Frage zu befassen, inwieweit strafprozessuale Eingriffsbefugnisse (in Österreich) mit diesen Vorgaben in Einklang stehen.
- B.
Inhalt und Gegenstand der Entscheidung Hintergrund des Vorabentscheidungsersuchens war ein strafrechtliches Ermittlungsverfahren in Österreich. Gegen den Beschuldigten wurde wegen des Verdachts von vergleichsweise geringfügigen BtM-Delikten ermittelt. Die Polizei nahm ihm sein Mobiltelefon ab und versuchte in der Folge, die darauf gespeicherten Daten zu sichten. Das vorlegende Gericht bat um Feststellung, ob europarechtliche Vorgaben zum Schutz personenbezogener Daten derartigen Ermittlungen entgegenstehen. Insbesondere ersuchte es um Klärung, ob ein derartiger Zugriff auf ein Mobiltelefon auch in Ermittlungen zulässig ist, die keine schweren Straftaten betreffen. Zudem ersuchte es um Klärung, ob ein Richtervorbehalt greift und welche Mitteilungspflichten bestehen. Mit Urteil der Großen Kammer vom 04.10.2024 hat der EuGH über die Vorlagefrage entschieden. Die Entscheidung befasst sich zunächst mit zahlreichen Verfahrensfragen. So waren im Laufe des Verfahrens Zweifel aufgekommen, ob das vorlegende Gericht den zugrunde liegenden Sachverhalt und die österreichische Rechtslage korrekt dargestellt hatte (Rn. 45). Darüber hinaus hatte das vorlegende Gericht zunächst eine europarechtliche Überprüfung im Lichte der Richtlinie (EU) 2002/58 (Rn. 26) erbeten und erst auf Intervention des EuGH (Rn. 31) klargestellt, dass auch eine Überprüfung im Lichte der Richtlinie (EU) 2016/680 gewünscht sei (Rn. 32). All dies führte zu Klärungsbedarf hinsichtlich der Zulässigkeit des Vorabentscheidungsersuchens (vgl. auch EuGH, Schlussantrag v. Generalanwalt Sánchez-Bordona v. 20.04.2023 - C-548/21 Rn. 34 ff.), die jedoch vom EuGH schlussendlich bejaht wurde (Rn. 55). Inhaltlich stellt die Große Kammer zunächst klar, dass auf den unmittelbaren Datenzugriff durch Polizeibehörden die Richtlinie (EU) 2002/58 keine Anwendung finde, da diese Richtlinie den Anwendungsfall regle, dass Betreiber elektronischer Kommunikationsdiente in den Datenverarbeitungsprozess eingebunden seien (Rn. 56 ff.). Maßgeblich im vorliegenden Fall sei daher das nationale Verfahrensrecht unter Berücksichtigung der Vorgaben der Richtlinie (EU) 2016/680 (Rn. 57). Eine Umformulierung der Vorlagefrage sei zulässig und erforderlich (vgl. Rn. 64). Ferner lehnt die Große Kammer Einwände einiger Regierungen ab, die eine Anwendbarkeit der Richtlinie (EU) 0216/680 auf nur versuchte Datenzugriffe verneint hatten (Rn. 65 ff.). Der EuGH rekapituliert nunmehr, dass sich aus Art. 4 Abs. 1 Buchst. c RL (EU) 0216/680 der Grundsatz der „Datenminimierung“ ergebe. Dieser müsse bei der Datenerhebung durch Polizeibehörden berücksichtigt werden (Rn. 79 f.). Aus der insoweit ebenfalls zu berücksichtigenden EU-Grundrechtecharta (insb. Art. 51 Abs. 1 EU-GrCh) ergebe sich ferner, dass Einschränkungen gesetzlich vorgesehen seien und den Wesensgehalt sowie den Verhältnismäßigkeitsgrundsatz achten müssten. Dies erfordere „klare und präzise Regeln“ (Rn. 84 f.). Im Rahmen der Verhältnismäßigkeit sei unter anderem die Natur und Sensibilität der Daten zu berücksichtigen, zu denen die zuständigen Polizeibehörden Zugang erlangen können. Ebenso sei die Verbindung zwischen dem Eigentümer und der in Rede stehenden Straftat von Bedeutung (Rn. 90). Der EuGH führt aus, wie sensibel die Daten auf einem Mobiltelefon sein können (Rn. 92 ff.), und schlussfolgert, dass der Eingriff in Art. 7 und 8 EU-GrCh als „schwerwiegend oder sogar besonders schwerwiegend“ eingestuft werden kann (Rn. 95). Ebenso sei aber zu berücksichtigen, dass eine Beschränkung auf „schwere Straftaten“ dazu führen könnte, dass Ermittlungsbefugnisse eingeschränkt würden, was zu einer erhöhten Gefahr der Straflosigkeit von Straftaten im Allgemeinen führen könnte (Rn. 97). Eine Beschränkung auf „schwere Straftaten“ sei daher nicht geboten. Allerdings müsse der Gesetzgeber Art oder Kategorie der betreffenden Straftaten hinreichend präzise definieren (Rn. 99). Darüber hinaus müssten die Mitgliedstaaten zwischen den Kategorien betroffener Personen klar unterscheiden (Rn. 100). Bei einem Beschuldigten müsse der Verdacht durch „hinreichende objektive Anhaltspunkte untermauert“ sein (Rn. 101). Außer in Eilfällen müsse es zudem eine Vorabkontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle geben (Rn. 102 ff.). Ferner ergebe sich aus der Richtlinie, dass der Betroffene über den Datenzugriff und die Gründe informiert werde (Rn. 115 ff.). Eine Zurückstellung der Information sei jedoch zulässig, soweit und solange „wie diese Maßnahme in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist und sofern den Grundrechten und den berechtigten Interessen der betroffenen natürlichen Person Rechnung getragen wird“ (Rn. 116).
- C.
Kontext der Entscheidung Die mediale Berichterstattung zur EuGH-Entscheidung fokussierte sich vor allem auf die Aussage des EuGH, bei der Durchsuchung und Beschlagnahme von Mobiltelefonen sei keine Begrenzung auf schwere Straftaten geboten. In der Tat verzichtete die Große Kammer auf eine pauschale Beschränkung auf „schwere“ Straftaten. Dies dürfte auch dadurch bedingt sein, dass – wie der Generalanwalt festgestellt hat (vgl. EuGH, Schlussantrag v. Generalanwalt Sánchez-Bordona v. 20.04.2023 - C-548/21 Rn. 68) – durch die Richtlinie keine Begrenzung auf, aber auch keine Definition der schweren Straftat vorgegeben wird und die Schwere von strafbaren Handlungen durch die Mitgliedstaaten uneinheitlich definiert wird. Dennoch fordert die Große Kammer, dass der nationale Gesetzgeber die Art oder Kategorie der Straftaten für derartige Zugriffe präzise definiert (Rn. 110). Auffallend ist, dass diese Feststellung abweicht von der Einschätzung des Generalanwalts. Dieser hatte – unter Bezugnahme auf die Stellungnahme der Bundesregierung (EuGH, Schlussantrag v. Generalanwalt Sánchez-Bordona v. 20.04.2023 - C-548/21 Rn. 71) – die folgende Einschätzung abgegeben: „Abstrakt ist nach der Richtlinie 2016/680 der Zugang zu auf einem Mobiltelefon gespeicherten personenbezogenen Daten zu dem Zweck, bezüglich Handlungen zu ermitteln, die zu den allgemeinen oder häufigeren Straftaten zählen, somit nicht von vornherein rechtswidrig. Ob ein solcher Zugang konkret zulässig ist, hat die zuständige Behörde im Einzelfall und unter Berücksichtigung der Erforderlichkeit und des Kriteriums der Verhältnismäßigkeit, auf das ich vorstehend verwiesen habe, zu beurteilen.“ (EuGH, Schlussantrag v. Generalanwalt Sánchez-Bordona v. 20.04.2023 - C-548/21 Rn. 72). Während der Generalanwalt es für zulässig erachtet hat, die Verhältnismäßigkeitsprüfung im Einzelfall durchzuführen, fordert die Große Kammer eine präzise Definition der Straftaten – mithin ein Tätigwerden des Gesetzgebers. Ganz ähnlich hatte vor einigen Jahren das BVerfG im Zusammenhang mit der dynamischen IP argumentiert. Dort hielten die Karlsruher Richter eine gesetzliche Klarstellung für geboten (BVerfG, Beschl. v. 27.05.2020 - 1 BvR 1873/13 u.a. Rn. 177 ff.). Obwohl der Eingriff – Abfrage einer dynamischen IP-Adresse beim Diensteanbieter – deutlich niedrigschwelliger ist als die Durchsicht eines Mobiltelefons mit privaten oder gar intimen Inhalten sowie der Möglichkeit, ein Persönlichkeitsprofil zu erstellen (vgl. dazu auch EuGH, Schlussantrag v. Generalanwalt Sánchez-Bordona v. 20.04.2023 - C-548/21 Rn. 71), hatte das BVerfG ein gesetzgeberisches Einschreiten für notwendig erachtet. Im Lichte der Rechtsprechung des BVerfG und der aktuellen Entscheidung des EuGH ist ein Tätigwerden des deutschen Gesetzgebers angezeigt (vgl. dazu auch Brodowski in: BeckOK IT-Recht, 16. Ed. 2024, § 94 Rn. 12; Wahl, Eucrim 3/2024, Preprint v. 16.12.2024, abrufbar unter: www.eucrim.eu, zuletzt abgerufen am 15.01.2025). Die §§ 94 ff. und 102 ff. StPO sehen weder einen Straftaten- noch einen Ordnungswidrigkeitenkatalog vor. Zudem sind die Regelungen zur (forensischen) Sichtung unzureichend und erfordern ein regelmäßiges Korrektiv durch das BVerfG (vgl. dazu u.a. Park, NStZ 2023, 646; Hiéramente/Wagner, StV-S 2023, 172; Cordes/Reichling, NStZ 2022, 712). In die rechtspolitische Diskussion ist in den letzten Jahren bereits Bewegung gekommen; dies u.a. auch aufgrund von Entwicklungen in Österreich (vgl. dazu Übersicht bei Soyer/Marsch/Holznagel, StV 2024, 619). So wurde in der Literatur verschiedentlich moniert, dass das bestehende Regelungswerk – auch aufgrund technischer Entwicklungen sowie Veränderungen der Nutzungsgewohnheiten – der Eingriffstiefe eines Zugriffs auf Smartphones und Laptops nicht (mehr) ausreichend Rechnung trägt (vgl. dazu – jeweils mit weiteren Nachweisen – u.a. Stam, JZ 2023, 1070; Greco, StV 2024, 276). Dies mündete in das Gutachten zum 74. Deutschen Juristentag (El-Ghazi, Gutachten C zum 74. DJT Stuttgart 2024; vgl. dazu auch Brodowski, JZ 2024, 750; Hiéramente, StV 2024, 611; Cornelius, NJW 2024, 2725; Beukelmann, NJW-Spezial 2024, 696). Das Gutachten schlägt u.a. die Einführung eines Straftatenkatalogs, Fristen für die Mitnahme von Hardware, Vorschriften zum Kernbereichsschutz sowie einen Anspruch auf Aushändigung von Datenkopien vor. Ein weiterer Punkt, der nunmehr auch in der EuGH-Entscheidung (Rn. 100) anklingt, ist die Frage, ob nicht eine noch deutlichere Unterscheidung zwischen einem Zugriff bei einem Beschuldigten und dem Zugriff bei Dritten gesetzlich normiert werden sollte. Zwar sieht das geltende Recht eine Unterscheidung vor. § 103 Abs. 1 Satz 1 StPO fordert ausdrücklich, dass bei Nichtbeschuldigten nur nach „bestimmten“ Gegenständen gesucht werden darf. Diese Grenzen werden allerdings in der Praxis oftmals ignoriert. Dies ist sicherlich auch dadurch bedingt, dass das BVerfG eine gattungsmäßige Bezeichnung für ausreichend erachtet hat. Zudem wird nur selten sichergestellt, dass die gesetzlichen Vorgaben nach § 103 Abs. 1 Satz 1 StPO i.V.m. § 110 StPO auch auf Sichtung der Daten angewendet werden. Dem Grundrechtsschutz ist aber kaum geholfen, wenn zwar das Endgerät genau bezeichnet wird, die Sichtung der darauf gespeicherten Daten vom Ermittlungsrichter jedoch weder eingeschränkt noch kontrolliert wird (vgl. dazu DJT, Beschluss Nr. 6 (Strafrecht), abrufbar unter: https://djt.de/wp-content/uploads/2022/04/djt_74_Beschluesse_241209.pdf, zuletzt abgerufen am 15.01.2025; Wahl, Eucrim 3/2024, Preprint v. 16.12.2024, abrufbar unter: www.eucrim.eu; Hiéramente, StV 2024, 611, 616). Die Entscheidung des EuGH hat klar gezeigt, dass Handlungsbedarf besteht und (europäische) datenschutzrechtliche Vorgaben auch im Strafprozess zu beachten sind.
- D.
Auswirkungen für die Praxis Aus Perspektive der Praxis ist die Entscheidung des EuGH aus einem weiteren Grund von Interesse. Zwar sieht die Richtlinie (EU) 2016/680 nur gewisse datenschutzrechtliche Mindeststandards vor, die in der alltäglichen Gesetzesanwendung schwer greifbar sind. Prozessual öffnet sich mit dieser Richtlinie allerdings die Tür zu einer weiteren Form der Grundrechtskontrolle (vgl. allg. zur Thematik Safferling/Rückert, NJW 2021, 287; Rückert in: MünchKomm StPO, 2. Aufl. 2023, § 100a Rn. 42 ff.). Da eine Vielzahl von Ermittlungsmaßnahmen darauf abzielen, personenbezogene Daten zu erheben, kommt theoretisch eine Überprüfung der einschlägigen nationalen Eingriffsbefugnisse anhand der Richtlinie (EU) 2016/68 und (mittelbar) der EU-GrCh in Betracht. Die Vorlage an den EuGH im Wege des Vorabentscheidungsersuchens unterliegt zwar auch formalen Hürden, dürfte jedoch oftmals prozessual erfolgversprechender sein als eine konkrete Normenkontrolle nach Art. 100 GG. Darüber hinaus kann – bei Entscheidungserheblichkeit – eine Vorlage nach Art. 101 Abs. 1 Satz 2 GG geboten sein (vgl. dazu allg. BVerfG, Beschl. v. 01.11.2024 - 2 BvR 684/22 Rn. 70 ff.). Ob eine Prüfung durch den EuGH indes erstrebenswert ist, bedarf genauer Überlegung. Da die Richtlinie (EU) 2016/680 nur Mindeststandards definiert, kann insbesondere in der Bundesrepublik eine Prüfung anhand der nationalen Grundrechte vorzugswürdig sein.
|
