EuGH: Richtlinie über die Vorratsspeicherung von Daten ist ungültig
EuGH, Urteil vom 8.4.2014 - verb. Rs. C-293/12 und C-594/12, Digital Rights Ireland Ltd gegen Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform u. a. und Kärntner Landesregierung, Michael Seitlinger, Christof Tschohl u. a.
Tenor
Die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG ist ungültig.
Richtlinie 2006/24/EG; EUV Art. 5 Abs. 4; AEUV Art. 21; Charta Art. 7, 8, 11
Aus den Gründen
1 Die Vorabentscheidungsersuchen betreffen die Gültigkeit der Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15.3.2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG (ABl. L 105, S. 54).
2 Das Ersuchen des High Court (Rechtssache C-293/12) ergeht in einem Rechtsstreit der Digital Rights Ireland Ltd (im Folgenden: Digital Rights) gegen den Minister for Communications, Marine and Natural Resources, den Minister for Justice, Equality and Law Reform, den Commissioner of the Garda Síochána, Irland sowie den Attorney General wegen der Rechtmäßigkeit nationaler legislativer und administrativer Maßnahmen zur Vorratsspeicherung von Daten elektronischer Kommunikationsvorgänge.
3 Das Ersuchen des Verfassungsgerichtshofs (Rechtssache C-594/12) bezieht sich auf verfassungsrechtliche Verfahren, die vor diesem Gericht von der Kärntner Landesregierung sowie von Herrn Seitlinger, Herrn Tschohl und 11 128 weiteren Antragstellern wegen der Vereinbarkeit des Gesetzes zur Umsetzung der Richtlinie 2006/24 in österreichisches Recht mit dem Bundes-Verfassungsgesetz anhängig gemacht wurden.
Ausgangsverfahren und Vorlagefragen
Rechtssache C-293/12
17 Digital Rights erhob am 11.8.2006 eine Klage vor dem High Court, in deren Rahmen sie angibt, Eigentümerin eines am 3.6.2006 registrierten Mobiltelefons zu sein, das sie seit diesem Tag nutze. Sie stellt die Rechtmäßigkeit nationaler legislativer und administrativer Maßnahmen zur Vorratsspeicherung von Daten elektronischer Kommunikationsvorgänge in Abrede und begehrt vom vorlegenden Gericht u. a. die Feststellung der Unwirksamkeit der Richtlinie 2006/24 und des siebten Teils des Gesetzes von 2005 über terroristische Straftaten (Criminal Justice [Terrorist Offences] Act 2005), das die Anbieter von Telekommunikationsdiensten verpflichtete, Verkehrs- und Standortdaten im Bereich der Telekommunikation für einen gesetzlich festgelegten Zeitraum zum Zweck der Verhütung, Feststellung, Ermittlung und Verfolgung von Straftaten sowie des Schutzes der Sicherheit des Staats zu speichern.
18 Da der High Court der Ansicht ist, nicht über die von ihm zu klärenden Fragen des nationalen Rechts entscheiden zu können, ohne dass die Gültigkeit der Richtlinie 2006/24 geprüft wurde, hat er beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Ist die sich aus den Erfordernissen der Art. 3, 4 und 6 der Richtlinie 2006/24 ergebende Beschränkung der Rechte der Klägerin bezüglich der Nutzung des Mobilfunks mit Art. 5 Abs. 4 EUV unvereinbar, weil sie unverhältnismäßig und nicht erforderlich bzw. ungeeignet zur Erreichung der berechtigten Ziele ist, die darin bestehen,
a) sicherzustellen, dass bestimmte Daten zwecks Ermittlung, Feststellung und Verfolgung schwerer Straftaten zur Verfügung stehen,
und/oder
b) sicherzustellen, dass der Binnenmarkt der Europäischen Union reibungslos funktioniert?
2. Insbesondere:
a) Ist die Richtlinie 2006/24 mit dem in Art. 21 AEUV verankerten Recht der Bürger vereinbar, sich im Hoheitsgebiet der Mitgliedstaaten frei zu bewegen und aufzuhalten?
b) Ist die Richtlinie 2006/24 mit dem in Art. 7 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) und in Art. 8 EMRK verankerten Recht auf Privatleben vereinbar?
c) Ist die Richtlinie 2006/24 mit dem in Art. 8 der Charta verankerten Recht auf Schutz personenbezogener Daten vereinbar?
d) Ist die Richtlinie 2006/24 mit dem in Art. 11 der Charta und in Art. 10 EMRK verankerten Recht auf Freiheit der Meinungsäußerung vereinbar?
e) Ist die Richtlinie 2006/24 mit dem in Art. 41 der Charta verankerten Recht auf eine gute Verwaltung vereinbar?
3. Inwieweit hat ein nationales Gericht nach den Verträgen - insbesondere nach dem in Art. 4 Abs. 3 EUV verankerten Grundsatz der loyalen Zusammenarbeit - die Vereinbarkeit der nationalen Maßnahmen zur Umsetzung der Richtlinie 2006/24 mit dem durch die Charta einschließlich deren Art. 7 (in dem der Gedanke des Art. 8 EMRK zum Ausdruck kommt) gewährten Schutz zu prüfen und festzustellen?
Rechtssache C-594/12
19 Dem Vorabentscheidungsersuchen des Verfassungsgerichtshofs in der Rechtssache C-594/12 liegen Anträge der Kärntner Landesregierung sowie von Herrn Seitlinger, Herrn Tschohl und 11 128 weiteren Antragstellern auf Nichtigerklärung von § 102a des Telekommunikationsgesetzes 2003 (im Folgenden: TKG 2003) zugrunde, der durch das Bundesgesetz, mit dem das TKG 2003 geändert wird (BGBl. I Nr. 27/2011), zur Umsetzung der Richtlinie 2006/24 in österreichisches Recht in dieses Gesetz eingefügt wurde. Die Antragsteller sind u. a. der Ansicht, dass § 102a TKG 2003 das Grundrecht der Bürger auf Schutz ihrer Daten verletze.
20 Der Verfassungsgerichtshof möchte insbesondere wissen, ob die Richtlinie 2006/24 insofern mit der Charta vereinbar sei, als sie die Speicherung vielfältiger Daten einer unbegrenzten Zahl von Personen für lange Dauer ermögliche. Die Vorratsdatenspeicherung erfasse fast ausschließlich Personen, deren Verhalten die Speicherung der sie betreffenden Daten in keiner Weise rechtfertige. Diese Personen würden einem erhöhten Risiko ausgesetzt, dass die Behörden ihre Daten ermittelten, deren Inhalt zur Kenntnis nähmen und sich über ihr Privatleben informierten und dass diese Daten - in Anbetracht vor allem der nicht überblickbaren Zahl von Personen, die für mindestens sechs Monate Zugriff auf sie hätten - für vielfältige Zwecke verwendet würden. Es bestünden Zweifel, ob sich die Richtlinie zur Erreichung der mit ihr verfolgten Ziele eigne und ob der Eingriff in die betreffenden Grundrechte verhältnismäßig sei.
21 Der Verfassungsgerichtshof hat daher beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Zur Gültigkeit von Handlungen von Organen der Union:
Sind die Art. 3 bis 9 der Richtlinie 2006/24 mit den Art. 7, 8 und 11 der Charta vereinbar?
2. Zur Auslegung der Verträge:
a) Sind im Licht der Erläuterungen zu Art. 8 der Charta, die gemäß Art. 52 Abs. 7 der Charta als Anleitung zur Auslegung der Charta verfasst wurden und vom Verfassungsgerichtshof gebührend zu berücksichtigen sind, die Richtlinie 95/46 und die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18.12.2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. 2001, L 8, S. 1) für die Beurteilung der Zulässigkeit von Eingriffen gleichwertig mit den Bedingungen nach Art. 8 Abs. 2 und Art. 52 Abs. 1 der Charta zu berücksichtigen?
b) In welchem Verhältnis steht das in Art. 52 Abs. 3 letzter Satz der Charta in Bezug genommene „Recht der Union" zu den Richtlinien im Bereich des Datenschutzrechts?
c) Sind angesichts dessen, dass die Richtlinie 95/46 und die Verordnung Nr. 45/2001 Bedingungen und Beschränkungen für die Wahrnehmung des Datenschutzgrundrechts der Charta enthalten, Änderungen als Folge späteren Sekundärrechts bei der Auslegung des Art. 8 der Charta zu berücksichtigen?
d) Hat unter Berücksichtigung des Art. 52 Abs. 4 der Charta der Grundsatz der Wahrung höherer Schutzniveaus in Art. 53 der Charta zur Konsequenz, dass die nach der Charta maßgeblichen Grenzen für zulässige Einschränkungen durch Sekundärrecht enger zu ziehen sind?
e) Können sich im Hinblick auf Art. 52 Abs. 3 der Charta, Abs. 5 der Präambel und die Erläuterungen zu Art. 7 der Charta, wonach die darin garantierten Rechte den Rechten nach Art. 8 EMRK entsprechen, aus der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte zu Art. 8 EMRK Gesichtspunkte für die Auslegung des Art. 8 der Charta ergeben, die die Auslegung des zuletzt genannten Artikels beeinflussen?
22 Durch Beschluss des Präsidenten des Gerichtshofs vom 11.6.2013 sind die Rechtssachen C-293/12 und C-594/12 zu gemeinsamem mündlichen Verfahren und zu gemeinsamer Entscheidung verbunden worden.
Zu den Vorlagefragen
Zur zweiten Frage, Buchst. b bis d, in der Rechtssache C-293/12 und zur ersten Frage in der Rechtssache C-594/12
23 Mit der zweiten Frage, Buchst. b bis d, in der Rechtssache C-293/12 und mit der ersten Frage in der Rechtssache C-594/12, die zusammen zu prüfen sind, ersuchen die vorlegenden Gerichte den Gerichtshof um die Prüfung der Gültigkeit der Richtlinie 2006/24 im Licht der Art. 7, 8 und 11 der Charta.
Zur Relevanz der Art. 7, 8 und 11 der Charta für die Frage der Gültigkeit der Richtlinie 2006/24
24 Wie sich aus Art. 1 sowie den Erwägungsgründen 4, 5, 7 bis 11, 21 und 22 der Richtlinie 2006/24 ergibt, sollen mit ihr in erster Linie die Vorschriften der Mitgliedstaaten über die Vorratsspeicherung bestimmter von den Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste oder den Betreibern eines öffentlichen Kommunikationsnetzes erzeugter oder verarbeiteter Daten harmonisiert werden, um sicherzustellen, dass die Daten, unter Wahrung der in den Art. 7 und 8 der Charta verankerten Rechte, zwecks Verhütung, Ermittlung, Feststellung und Verfolgung von schweren Straftaten wie organisierter Kriminalität und Terrorismus zur Verfügung stehen.
25 Die in Art. 3 der Richtlinie 2006/24 vorgesehene Pflicht der Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste oder der Betreiber eines öffentlichen Kommunikationsnetzes, die in Art. 5 der Richtlinie aufgezählten Daten auf Vorrat zu speichern, um sie gegebenenfalls den zuständigen nationalen Behörden zugänglich zu machen, wirft Fragen hinsichtlich des in Art. 7 der Charta verankerten Schutzes sowohl des Privatlebens als auch der Kommunikation, hinsichtlich des von Art. 8 der Charta erfassten Schutzes personenbezogener Daten und hinsichtlich der durch Art. 11 der Charta gewährleisteten Freiheit der Meinungsäußerung auf.
26 Hierzu ist festzustellen, dass es sich bei den Daten, die von den Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste oder den Betreibern eines öffentlichen Kommunikationsnetzes nach den Art. 3 und 5 der Richtlinie 2006/24 auf Vorrat zu speichern sind, u. a. um die zur Rückverfolgung und Identifizierung der Quelle und des Adressaten einer Nachricht sowie zur Bestimmung von Datum, Uhrzeit, Dauer und Art einer Nachrichtenübermittlung, der Endeinrichtung von Benutzern und des Standorts mobiler Geräte benötigten Daten handelt, zu denen Name und Anschrift des Teilnehmers oder registrierten Benutzers, die Rufnummer des anrufenden Anschlusses und des angerufenen Anschlusses sowie bei Internetdiensten eine IP-Adresse gehören. Aus diesen Daten geht insbesondere hervor, mit welcher Person ein Teilnehmer oder registrierter Benutzer auf welchem Weg kommuniziert hat, wie lange die Kommunikation gedauert hat und von welchem Ort aus sie stattfand. Ferner ist ihnen zu entnehmen, wie häufig der Teilnehmer oder registrierte Benutzer während eines bestimmten Zeitraums mit bestimmten Personen kommuniziert hat.
27 Aus der Gesamtheit dieser Daten können sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert wurden, gezogen werden, etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren.
28 Unter solchen Umständen ist es - auch wenn die Richtlinie 2006/24, wie sich aus ihren Art. 1 Abs. 2 und 5 Abs. 2 ergibt, keine Vorratsspeicherung des Inhalts einer Nachricht und der mit Hilfe eines elektronischen Kommunikationsnetzes abgerufenen Informationen gestattet - nicht ausgeschlossen, dass die Vorratsspeicherung der fraglichen Daten Auswirkungen auf die Nutzung der von dieser Richtlinie erfassten Kommunikationsmittel durch die Teilnehmer oder registrierten Benutzer und infolgedessen auf deren Ausübung der durch Art. 11 der Charta gewährleisteten Freiheit der Meinungsäußerung hat.
29 Die in der Richtlinie 2006/24 vorgesehene Vorratsspeicherung der Daten zu dem Zweck, sie gegebenenfalls den zuständigen nationalen Behörden zugänglich zu machen, betrifft unmittelbar und speziell das Privatleben und damit die durch Art. 7 der Charta garantierten Rechte. Eine solche Vorratsspeicherung der Daten fällt zudem unter Art. 8 der Charta, weil sie eine Verarbeitung personenbezogener Daten im Sinne dieses Artikels darstellt und deshalb zwangsläufig die ihm zu entnehmenden Erfordernisse des Datenschutzes erfüllen muss (Urteil Volker und Markus Schecke und Eifert, C-92/09 und C-93/09, EU:C:2010:662, Rn. 47).
30 Zwar werfen die Vorabentscheidungsersuchen in den vorliegenden Rechtssachen insbesondere die grundsätzliche Frage auf, ob die Daten der Teilnehmer und der registrierten Benutzer im Hinblick auf Art. 7 der Charta auf Vorrat gespeichert werden dürfen, doch betreffen sie auch die Frage, ob die Richtlinie 2006/24 den in Art. 8 der Charta aufgestellten Erfordernissen des Schutzes personenbezogener Daten genügt.
31 In Anbetracht der vorstehenden Erwägungen ist zur Beantwortung der zweiten Frage, Buchst. b bis d, in der Rechtssache C-293/12 und der ersten Frage in der Rechtssache C-594/12 die Gültigkeit der Richtlinie anhand der Art. 7 und 8 der Charta zu prüfen.
Zum Vorliegen eines Eingriffs in die Rechte, die in den Art. 7 und 8 der Charta verankert sind
32 Durch die Verpflichtung zur Vorratsspeicherung der in Art. 5 Abs. 1 der Richtlinie 2006/24 aufgeführten Daten und durch die Gestattung des Zugangs der zuständigen nationalen Behörden zu diesen Daten weicht die Richtlinie, wie der Generalanwalt insbesondere in den Nrn. 39 und 40 seiner Schlussanträge ausgeführt hat, in Bezug auf die Verarbeitung personenbezogener Daten im Bereich elektronischer Kommunikationsvorgänge von der durch die Richtlinien 95/46 und 2002/58 geschaffenen Regelung zum Schutz des Rechts auf Achtung der Privatsphäre ab, denn die letztgenannten Richtlinien sehen die Vertraulichkeit der Kommunikation und der Verkehrsdaten sowie die Pflicht vor, diese Daten zu löschen oder zu anonymisieren, sobald sie für die Übertragung einer Nachricht nicht mehr benötigt werden, ausgenommen die zur Gebührenabrechnung erforderlichen Daten und nur solange diese dafür benötigt werden.
33 Für die Feststellung des Vorliegens eines Eingriffs in das Grundrecht auf Achtung des Privatlebens kommt es nicht darauf an, ob die betreffenden Informationen über das Privatleben sensiblen Charakter haben oder ob die Betroffenen durch den Eingriff Nachteile erlitten haben könnten (vgl. in diesem Sinne Urteil Österreichischer Rundfunk u. a., C-465/00, C-138/01 und C-139/01, EU:C:2003:294, Rn. 75).
34 Daraus folgt, dass die den Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste und den Betreibern eines öffentlichen Kommunikationsnetzes durch die Art. 3 und 6 der Richtlinie 2006/24 auferlegte Pflicht, die in Art. 5 dieser Richtlinie aufgeführten Daten über das Privatleben einer Person und ihre Kommunikationsvorgänge während eines bestimmten Zeitraums auf Vorrat zu speichern, als solche einen Eingriff in die durch Art. 7 der Charta garantierten Rechte darstellt.
35 Zudem stellt der Zugang der zuständigen nationalen Behörden zu den Daten einen zusätzlichen Eingriff in dieses Grundrecht dar (vgl., zu Art. 8 EMRK, Urteile des EGMR Leander/Schweden vom 26.3.1987, Serie A, Nr. 116, § 48, Rotaru/Rumänien [GK], Nr. 28341/95, § 46, Rep. 2000-V, sowie Weber und Saravia/Deutschland (Entsch.), Nr. 54934/00, § 79, Rep. 2006-XI). Auch die Art. 4 und 8 der Richtlinie 2006/24, die Regeln für den Zugang der zuständigen nationalen Behörden zu den Daten aufstellen, greifen daher in die durch Art. 7 der Charta garantierten Rechte ein.
36 Desgleichen greift die Richtlinie 2006/24 in das durch Art. 8 der Charta garantierte Grundrecht auf den Schutz personenbezogener Daten ein, da sie eine Verarbeitung personenbezogener Daten vorsieht.
37 Der mit der Richtlinie 2006/24 verbundene Eingriff in die in Art. 7 und Art. 8 der Charta verankerten Grundrechte ist, wie auch der Generalanwalt insbesondere in den Nrn. 77 und 80 seiner Schlussanträge ausgeführt hat, von großem Ausmaß und als besonders schwerwiegend anzusehen. Außerdem ist der Umstand, dass die Vorratsspeicherung der Daten und ihre spätere Nutzung vorgenommen werden, ohne dass der Teilnehmer oder der registrierte Benutzer darüber informiert wird, geeignet, bei den Betroffenen - wie der Generalanwalt in den Nrn. 52 und 72 seiner Schlussanträge ausgeführt hat - das Gefühl zu erzeugen, dass ihr Privatleben Gegenstand einer ständigen Überwachung ist.
Zur Rechtfertigung des Eingriffs in die durch Art. 7 und Art. 8 der Charta garantierten Rechte
38 Nach Art. 52 Abs. 1 der Charta muss jede Einschränkung der Ausübung der in der Charta anerkannten Rechte und Freiheiten gesetzlich vorgesehen sein und den Wesensgehalt dieser Rechte und Freiheiten achten; unter Wahrung des Grundsatzes der Verhältnismäßigkeit dürfen Einschränkungen nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen.
39 Zum Wesensgehalt des Grundrechts auf Achtung des Privatlebens und der übrigen in Art. 7 der Charta verankerten Rechte ist festzustellen, dass die nach der Richtlinie 2006/24 vorgeschriebene Vorratsspeicherung von Daten zwar einen besonders schwerwiegenden Eingriff in diese Rechte darstellt, doch nicht geeignet ist, ihren Wesensgehalt anzutasten, da die Richtlinie, wie sich aus ihrem Art. 1 Abs. 2 ergibt, die Kenntnisnahme des Inhalts elektronischer Kommunikation als solchen nicht gestattet.
40 Die Vorratsspeicherung von Daten ist auch nicht geeignet, den Wesensgehalt des in Art. 8 der Charta verankerten Grundrechts auf den Schutz personenbezogener Daten anzutasten, weil die Richtlinie 2006/24 in ihrem Art. 7 eine Vorschrift zum Datenschutz und zur Datensicherheit enthält, nach der Anbieter von öffentlich zugänglichen elektronischen Kommunikationsdiensten bzw. Betreiber eines öffentlichen Kommunikationsnetzes, unbeschadet der zur Umsetzung der Richtlinien 95/46 und 2002/58 erlassenen Vorschriften, bestimmte Grundsätze des Datenschutzes und der Datensicherheit einhalten müssen. Nach diesen Grundsätzen stellen die Mitgliedstaaten sicher, dass geeignete technische und organisatorische Maßnahmen getroffen werden, um die Daten gegen zufällige oder unrechtmäßige Zerstörung sowie zufälligen Verlust oder zufällige Änderung zu schützen.
Zwar stellt die durch die Richtlinie 2006/24 vorgeschriebene Vorratsspeicherung von Daten eine dem Gemeinwohl dienende Zielsetzung dar
41 Zu der Frage, ob der fragliche Eingriff einer dem Gemeinwohl dienenden Zielsetzung entspricht, ist festzustellen, dass mit der Richtlinie 2006/24 zwar die Vorschriften der Mitgliedstaaten über die Pflichten der genannten Anbieter oder Betreiber im Bereich der Vorratsspeicherung bestimmter von ihnen erzeugter oder verarbeiteter Daten harmonisiert werden sollen, doch besteht das materielle Ziel dieser Richtlinie, wie sich aus ihrem Art. 1 Abs. 1 ergibt, darin, die Verfügbarkeit der Daten zwecks Ermittlung, Feststellung und Verfolgung schwerer Straftaten, wie sie von jedem Mitgliedstaat in seinem nationalen Recht bestimmt werden, sicherzustellen. Materielles Ziel der Richtlinie ist es demnach, zur Bekämpfung schwerer Kriminalität und somit letztlich zur öffentlichen Sicherheit beizutragen.
42 Nach der Rechtsprechung des Gerichtshofs stellt die Bekämpfung des internationalen Terrorismus zur Wahrung des Weltfriedens und der internationalen Sicherheit eine dem Gemeinwohl dienende Zielsetzung der Union dar (vgl. in diesem Sinne Urteile Kadi und Al Barakaat International Foundation/Rat und Kommission, C-402/05 P und C-415/05 P, EU:C:2008:461, Rn. 363, sowie Al-Aqsa/Rat, C-539/10 P und C-550/10 P, EU:C:2012:711, Rn. 130). Das Gleiche gilt für die Bekämpfung schwerer Kriminalität zur Gewährleistung der öffentlichen Sicherheit (vgl. in diesem Sinne Urteil Tsakouridis, C-145/09, EU:C:2010:708, Rn. 46 und 47). Im Übrigen ist insoweit festzustellen, dass nach Art. 6 der Charta jeder Mensch nicht nur das Recht auf Freiheit, sondern auch auf Sicherheit hat.
43 Hierzu geht aus dem siebten Erwägungsgrund der Richtlinie 2006/24 hervor, dass der Rat „Justiz und Inneres" am 19. Dezember 2002 wegen der beträchtlichen Zunahme der Möglichkeiten bei der elektronischen Kommunikation die Ansicht vertrat, dass Daten über die Nutzung elektronischer Kommunikation besonders wichtig seien und daher ein nützliches Mittel bei der Verhütung von Straftaten und der Bekämpfung der Kriminalität, insbesondere der organisierten Kriminalität, darstellten.
44 Somit ist festzustellen, dass die durch die Richtlinie 2006/24 vorgeschriebene Vorratsspeicherung von Daten zu dem Zweck, sie gegebenenfalls den zuständigen nationalen Behörden zugänglich machen zu können, eine dem Gemeinwohl dienende Zielsetzung darstellt.
Es stellt sich jedoch die Frage nach der Verhältnismäßigkeit des festgestellten Eingriffs
45 Unter diesen Umständen ist die Verhältnismäßigkeit des festgestellten Eingriffs zu prüfen.
46 Insoweit ist darauf hinzuweisen, dass der Grundsatz der Verhältnismäßigkeit nach ständiger Rechtsprechung des Gerichtshofs verlangt, dass die Handlungen der Unionsorgane geeignet sind, die mit der fraglichen Regelung zulässigerweise verfolgten Ziele zu erreichen, und nicht die Grenzen dessen überschreiten, was zur Erreichung dieser Ziele geeignet und erforderlich ist (vgl. in diesem Sinne Urteile Afton Chemical, C-343/09, EU:C:2010:419, Rn. 45, Volker und Markus Schecke und Eifert, EU:C:2010:662, Rn. 74, Nelson u. a., C-581/10 und C-629/10, EU:C:2012:657, Rn. 71, Sky Österreich, C-283/11, EU:C:2013:28, Rn. 50, und Schaible, C-101/12, EU:C:2013:661, Rn. 29).
47 ... 48 Im vorliegenden Fall ist angesichts der besonderen Bedeutung des Schutzes personenbezogener Daten für das Grundrecht auf Achtung des Privatlebens und des Ausmaßes und der Schwere des mit der Richtlinie 2006/24 verbundenen Eingriffs in dieses Recht der Gestaltungsspielraum des Unionsgesetzgebers eingeschränkt, so dass die Richtlinie einer strikten Kontrolle unterliegt.
Die Vorratsdatenspeicherung kann zwar als zur Erreichung des mit der Richtlinie verfolgten Ziels - eines nützlichen Mittels für strafrechtliche Ermittlungen - geeignet angesehen werden
49 Zu der Frage, ob die Vorratsspeicherung der Daten zur Erreichung des mit der Richtlinie 2006/24 verfolgten Ziels geeignet ist, ist festzustellen, dass angesichts der wachsenden Bedeutung elektronischer Kommunikationsmittel die nach dieser Richtlinie auf Vorrat zu speichernden Daten den für die Strafverfolgung zuständigen nationalen Behörden zusätzliche Möglichkeiten zur Aufklärung schwerer Straftaten bieten und insoweit daher ein nützliches Mittel für strafrechtliche Ermittlungen darstellen. Die Vorratsspeicherung solcher Daten kann somit als zur Erreichung des mit der Richtlinie verfolgten Ziels geeignet angesehen werden.
50 Diese Beurteilung kann nicht durch den - insbesondere von Herrn Tschohl und Herrn Seitlinger sowie der portugiesischen Regierung in ihren beim Gerichtshof eingereichten schriftlichen Erklärungen angeführten - Umstand in Frage gestellt werden, dass es mehrere elektronische Kommunikationsweisen gebe, die nicht in den Anwendungsbereich der Richtlinie 2006/24 fielen oder die eine anonyme Kommunikation ermöglichten. Dieser Umstand vermag zwar die Eignung der in der Vorratsspeicherung der Daten bestehenden Maßnahme zur Erreichung des verfolgten Ziels zu begrenzen, führt aber, wie der Generalanwalt in Nr. 137 seiner Schlussanträge ausgeführt hat, nicht zur Ungeeignetheit dieser Maßnahme.
Jedoch sieht die Richtlinie 2006/24 weder klare und präzise Regeln zur Tragweite des Eingriffs in die in Art. 7 und Art. 8 der Charta verankerten Grundrechte vor ...
51 Zur Erforderlichkeit der durch die Richtlinie 2006/24 vorgeschriebenen Vorratsspeicherung der Daten ist festzustellen, dass zwar die Bekämpfung schwerer Kriminalität, insbesondere der organisierten Kriminalität und des Terrorismus, von größter Bedeutung für die Gewährleistung der öffentlichen Sicherheit ist und dass ihre Wirksamkeit in hohem Maß von der Nutzung moderner Ermittlungstechniken abhängen kann. Eine solche dem Gemeinwohl dienende Zielsetzung kann jedoch, so grundlegend sie auch sein mag, für sich genommen die Erforderlichkeit einer Speicherungsmaßnahme - wie sie die Richtlinie 2006/24 vorsieht - für die Kriminalitätsbekämpfung nicht rechtfertigen.
52 Der Schutz des Grundrechts auf Achtung des Privatlebens verlangt nach ständiger Rechtsprechung des Gerichtshofs jedenfalls, dass sich die Ausnahmen vom Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut Notwendige beschränken müssen (Urteil IPI, C-473/12, EU:C:2013:715, Rn. 39 und die dort angeführte Rechtsprechung).
53 Insoweit ist darauf hinzuweisen, dass der Schutz personenbezogener Daten, zu dem Art. 8 Abs. 1 der Charta ausdrücklich verpflichtet, für das in ihrem Art. 7 verankerte Recht auf Achtung des Privatlebens von besonderer Bedeutung ist.
54 Daher muss die fragliche Unionsregelung klare und präzise Regeln für die Tragweite und die Anwendung der fraglichen Maßnahme vorsehen und Mindestanforderungen aufstellen, so dass die Personen, deren Daten auf Vorrat gespeichert wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen (vgl. entsprechend, zu Art. 8 EMRK, Urteile des EGMR Liberty u. a./Vereinigtes Königreich vom 1.7.2008, Nr. 58243/00, §§ 62 und 63, Rotaru/Rumänien, §§ 57 bis 59, sowie S und Marper/Vereinigtes Königreich, § 99).
55 Das Erfordernis, über solche Garantien zu verfügen, ist umso bedeutsamer, wenn die personenbezogenen Daten, wie in der Richtlinie 2006/24 vorgesehen, automatisch verarbeitet werden und eine erhebliche Gefahr des unberechtigten Zugangs zu diesen Daten besteht (vgl. entsprechend, zu Art. 8 EMRK, Urteil des EGMR S und Marper/Vereinigtes Königreich, § 103, sowie M. K./Frankreich vom 18.4.2013, Nr. 19522/09, § 35).
56 Zu der Frage, ob der mit der Richtlinie 2006/24 verbundene Eingriff auf das absolut Notwendige beschränkt ist, ist festzustellen, dass nach Art. 3 dieser Richtlinie in Verbindung mit ihrem Art. 5 Abs. 1 alle Verkehrsdaten betreffend Telefonfestnetz, Mobilfunk, Internetzugang, Internet-E-Mail und Internet-Telefonie auf Vorrat zu speichern sind. Sie gilt somit für alle elektronischen Kommunikationsmittel, deren Nutzung stark verbreitet und im täglichen Leben jedes Einzelnen von wachsender Bedeutung ist. Außerdem erfasst die Richtlinie nach ihrem Art. 3 alle Teilnehmer und registrierten Benutzer. Sie führt daher zu einem Eingriff in die Grundrechte fast der gesamten europäischen Bevölkerung.
57 Hierzu ist erstens festzustellen, dass sich die Richtlinie 2006/24 generell auf alle Personen und alle elektronischen Kommunikationsmittel sowie auf sämtliche Verkehrsdaten erstreckt, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen.
58 Die Richtlinie 2006/24 betrifft nämlich zum einen in umfassender Weise alle Personen, die elektronische Kommunikationsdienste nutzen, ohne dass sich jedoch die Personen, deren Daten auf Vorrat gespeichert werden, auch nur mittelbar in einer Lage befinden, die Anlass zur Strafverfolgung geben könnte. Sie gilt also auch für Personen, bei denen keinerlei Anhaltspunkt dafür besteht, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten stehen könnte. Zudem sieht sie keinerlei Ausnahme vor, so dass sie auch für Personen gilt, deren Kommunikationsvorgänge nach den nationalen Rechtsvorschriften dem Berufsgeheimnis unterliegen.
59 Zum anderen soll die Richtlinie zwar zur Bekämpfung schwerer Kriminalität beitragen, verlangt aber keinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen ist, und einer Bedrohung der öffentlichen Sicherheit; insbesondere beschränkt sie die Vorratsspeicherung weder auf die Daten eines bestimmten Zeitraums und/oder eines bestimmten geografischen Gebiets und/oder eines bestimmten Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, noch auf Personen, deren auf Vorrat gespeicherte Daten aus anderen Gründen zur Verhütung, Feststellung oder Verfolgung schwerer Straftaten beitragen könnten.
60 Zweitens kommt zu diesem generellen Fehlen von Einschränkungen hinzu, dass die Richtlinie 2006/24 kein objektives Kriterium vorsieht, das es ermöglicht, den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung zwecks Verhütung, Feststellung oder strafrechtlicher Verfolgung auf Straftaten zu beschränken, die im Hinblick auf das Ausmaß und die Schwere des Eingriffs in die in Art. 7 und Art. 8 der Charta verankerten Grundrechte als hinreichend schwer angesehen werden können, um einen solchen Eingriff zu rechtfertigen. Die Richtlinie 2006/24 nimmt im Gegenteil in ihrem Art. 1 Abs. 1 lediglich allgemein auf die von jedem Mitgliedstaat in seinem nationalen Recht bestimmten schweren Straftaten Bezug.
61 Überdies enthält die Richtlinie 2006/24 keine materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung. Art. 4 der Richtlinie, der den Zugang dieser Behörden zu den auf Vorrat gespeicherten Daten regelt, bestimmt nicht ausdrücklich, dass der Zugang zu diesen Daten und deren spätere Nutzung strikt auf Zwecke der Verhütung und Feststellung genau abgegrenzter schwerer Straftaten oder der sie betreffenden Strafverfolgung zu beschränken sind, sondern sieht lediglich vor, dass jeder Mitgliedstaat das Verfahren und die Bedingungen festlegt, die für den Zugang zu den auf Vorrat gespeicherten Daten gemäß den Anforderungen der Notwendigkeit und der Verhältnismäßigkeit einzuhalten sind.
62 Insbesondere sieht die Richtlinie 2006/24 kein objektives Kriterium vor, das es erlaubt, die Zahl der Personen, die zum Zugang zu den auf Vorrat gespeicherten Daten und zu deren späterer Nutzung befugt sind, auf das angesichts des verfolgten Ziels absolut Notwendige zu beschränken. Vor allem unterliegt der Zugang der zuständigen nationalen Behörden zu den auf Vorrat gespeicherten Daten keiner vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle, deren Entscheidung den Zugang zu den Daten und ihre Nutzung auf das zur Erreichung des verfolgten Ziels absolut Notwendige beschränken soll und im Anschluss an einen mit Gründen versehenen Antrag der genannten Behörden im Rahmen von Verfahren zur Verhütung, Feststellung oder Verfolgung von Straftaten ergeht. Auch sieht die Richtlinie keine präzise Verpflichtung der Mitgliedstaaten vor, solche Beschränkungen zu schaffen.
63 Drittens schreibt die Richtlinie 2006/24 hinsichtlich der Dauer der Vorratsspeicherung in ihrem Art. 6 vor, dass die Daten für einen Zeitraum von mindestens sechs Monaten auf Vorrat zu speichern sind, ohne dass eine Unterscheidung zwischen den in Art. 5 der Richtlinie genannten Datenkategorien nach Maßgabe ihres etwaigen Nutzens für das verfolgte Ziel oder anhand der betroffenen Personen getroffen wird.
64 Die Speicherungsfrist liegt zudem zwischen mindestens sechs Monaten und höchstens 24 Monaten, ohne dass ihre Festlegung auf objektiven Kriterien beruhen muss, die gewährleisten, dass sie auf das absolut Notwendige beschränkt wird.
65 Aus dem Vorstehenden folgt, dass die Richtlinie 2006/24 keine klaren und präzisen Regeln zur Tragweite des Eingriffs in die in Art. 7 und Art. 8 der Charta verankerten Grundrechte vorsieht. Somit ist festzustellen, dass die Richtlinie einen Eingriff in diese Grundrechte beinhaltet, der in der Rechtsordnung der Union von großem Ausmaß und von besonderer Schwere ist, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.
... noch bietet sie hinreichende, den Anforderungen von Art. 8 der Charta entsprechenden Garantien dafür, dass die auf Vorrat gespeicherten Daten wirksam vor Missbrauchsrisiken geschützt sind
66 Darüber hinaus ist in Bezug auf die Regeln zur Sicherheit und zum Schutz der von den Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste oder den Betreibern eines öffentlichen Kommunikationsnetzes auf Vorrat gespeicherten Daten festzustellen, dass die Richtlinie 2006/24 keine hinreichenden, den Anforderungen von Art. 8 der Charta entsprechenden Garantien dafür bietet, dass die auf Vorrat gespeicherten Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu ihnen und jeder unberechtigten Nutzung geschützt sind. Erstens sieht Art. 7 der Richtlinie 2006/24 keine speziellen Regeln vor, die der großen nach der Richtlinie auf Vorrat zu speichernden Datenmenge, dem sensiblen Charakter dieser Daten und der Gefahr eines unberechtigten Zugangs zu ihnen angepasst sind. Derartige Regeln müssten namentlich klare und strikte Vorkehrungen für den Schutz und die Sicherheit der fraglichen Daten treffen, damit deren Unversehrtheit und Vertraulichkeit in vollem Umfang gewährleistet sind. Auch sieht die Richtlinie keine präzise Verpflichtung der Mitgliedstaaten vor, solche Regeln zu schaffen.
67 Art. 7 der Richtlinie 2006/24 in Verbindung mit Art. 4 Abs. 1 der Richtlinie 2002/58 und Art. 17 Abs. 1 Unterabs. 2 der Richtlinie 95/46 gewährleistet nicht, dass die genannten Anbieter oder Betreiber durch technische und organisatorische Maßnahmen für ein besonders hohes Schutz- und Sicherheitsniveau sorgen, sondern gestattet es ihnen u. a., bei der Bestimmung des von ihnen angewandten Sicherheitsniveaus wirtschaftliche Erwägungen hinsichtlich der Kosten für die Durchführung der Sicherheitsmaßnahmen zu berücksichtigen. Vor allem gewährleistet die Richtlinie 2006/24 nicht, dass die Daten nach Ablauf ihrer Speicherungsfrist unwiderruflich vernichtet werden.
68 Zweitens schreibt die Richtlinie nicht vor, dass die fraglichen Daten im Unionsgebiet auf Vorrat gespeichert werden, so dass es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten (vgl. in diesem Sinne Urteil Kommission/Österreich, C-614/10, EU:C:2012:631, Rn. 37).
69 Aus der Gesamtheit der vorstehenden Erwägungen ist zu schließen, dass der Unionsgesetzgeber beim Erlass der Richtlinie 2006/24 die Grenzen überschritten hat, die er zur Wahrung des Grundsatzes der Verhältnismäßigkeit im Hinblick auf die Art. 7, 8 und 52 Abs. 1 der Charta einhalten musste.
70 Unter diesen Umständen ist die Vereinbarkeit der Richtlinie 2006/24 mit Art. 11 der Charta nicht zu prüfen.
Fazit: Ungültigkeit der Richtlinie 2006/24
71 Infolgedessen ist auf die zweite Frage, Buchst. b bis d, in der Rechtssache C-293/12 und auf die erste Frage in der Rechtssache C-594/12 zu antworten, dass die Richtlinie 2006/24 ungültig ist.
Zur ersten Frage, zur zweiten Frage, Buchst. a und e, und zur dritten Frage in der Rechtssache C-293/12 sowie zur zweiten Frage in der Rechtssache C-594/12
72 Aus den Ausführungen in der vorstehenden Randnummer folgt, dass die erste Frage, die zweite Frage, Buchst. a und e, und die dritte Frage in der Rechtssache C-293/12 sowie die zweite Frage in der Rechtssache C-594/12 nicht zu beantworten sind.