EuGH: Zugriff auf Handydaten nicht nur bei schwerer Kriminalität

Urteil

Wann dürfen Behörden personenbezogene Daten der Betreiber elektronischer Kommunikationsdienste anfordern? Muss es sich für diese Ermittlungsmaßnahme um eine schwere Straftat handeln? Der EuGH hat entschieden. Spoiler: Der Zugang zu den Daten ist nicht nur bei schwerer Kriminalität möglich.

Kurz zum Sachverhalt

Bei dem Fall ging es konkret um den Raub einer Brieftasche und eines Mobiltelefons. Die spanische Polizei wollte im Rahmen ihrer Ermittlungsarbeit Zugriff auf Identifikationsdaten der Nutzer der Telefonnummer haben, die mit dem entwendeten Mobiltelefon aktiviert wurden. Identifikationsdaten können dabei Name, Vorname und ggf. Adresse des Karteninhabers sein. Diese sind unstrittig personenbezogene Daten.

Der Raub ist keine „schwere Straftat“ (mehr als 5 Jahre Strafandrohung) nach spanischen Recht. Deswegen stellte sich nun die Frage, ob eine Verarbeitung dieser Identifikationsdaten auch in einem Fall zulässig ist, wenn es um die Aufklärung einer Straftat dient, die gerade nicht als schwer einzustufen ist. In einfachen Worten also die Frage, wie weit die Behörden gehen dürfen, um Straftaten aufzuklären.

Was sagt der EuGH?

Das Gericht stellt u.a. fest, dass der Zugang von Behörden zu den von Betreibern elektronischer Kommunikationsdienste gespeicherten Daten einen Eingriff in die EU-Grundrechtecharta darstellt. Hier ist an die Achtung der Privatsphäre nach Art. 7 EU-GRCh und an den Schutz personenbezogener Daten nach Art. 8 EU-GRCh zu denken.

Der EuGH hält fest, dass auf die Schwere des Eingriffs abzustellen sei. Ein schwerer Eingriff könne nur bei einer schweren Straftat gerechtfertigt sein. Es sei aber auch grds. möglich, personenbezogene Daten für die Ermittlungsarbeit zu verarbeiten, wenn es sich nicht um eine schwere Straftat handelt. In diesem Fall dürfte es sich dann aber entsprechend nicht um einen schweren Eingriff handeln. Mit dieser Unterscheidung sei der Grundsatz der Verhältnismäßigkeit gewahrt.

Letztlich muss im Einzelfall geprüft werden inwieweit die Datenverarbeitung in die Privatsphäre des Betroffenen eingreift und um welche Straftat es sich handelt. Die Pressemitteilung führt dies noch etwas weiter aus. Schlussendlich kommt der Gerichtshof in diesem Fall zu dem Ergebnis, dass

„der Zugang nur zu den Daten, auf die sich der im Ausgangsverfahren in Rede stehende Antrag bezieht, nicht als „schwerer“ Eingriff in die Grundrechte der Personen eingestuft werden kann, deren Daten betroffen sind, da sich aus diesen Daten keine genauen Schlüsse auf ihr Privatleben ziehen lassen.“

Hat der EuGH auch schon mal anders entschieden?

Die Pressemitteilung weist auf das Urteil Tele2 Sverige (Pressemitteilung Tele2 Sverige) hin. Hier hatte der EuGH entschieden, dass ein schwerer Eingriff in die Grundrechte des Betroffenen nur zu rechtfertigen sei, wenn es sich um die Bekämpfung schwerer Kriminalität handle. Ein schwerer Eingriff sei anzunehmen, wenn anhand der zu verarbeitenden Daten genaue Rückschlüsse auf das Privatleben der betroffenen Personen möglich seien.

Was bedeutet das?

Diese beiden Urteile des EuGH widersprechen sich keinesfalls. Aus der Rechtsprechung ist folgendes Fazit zu ziehen:

Erfolgt ein schwerer Eingriff in die Privatsphäre, ist ein Zugang zu den Daten nur für die Aufklärung schwerer Straftaten möglich. Erfolgt kein schwerer Eingriff in die Privatsphäre, ist der Zugang auf für die Aufklärung „normaler“ Straftaten möglich.

Kleiner Exkurs

In dem Fall stecken auch andere spannende Fragen, die nicht Bestandteil des Urteils waren. Zum Beispiel die Frage, ob die ursprüngliche Speicherung der abgefragten Daten mit den Anforderungen des Unionsrechts vereinbar ist. In Deutschland wird dieser Identifizierungsszwang für SIM-Karten gerade vor dem Bundesverfassungsgericht verhandelt.

Für viele Unternehmen (wie auch die hier betroffenen, spanischen Telekommunikationsunternehmen) stellt sich zudem die Frage, wie sie mit Polizeianfragen umgehen sollen. Beachten Sie hier bitte unsere Hinweise für eine rechtskonforme Weitergabe von Daten.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.