Österreich war unter den Schnellsten, als der Verfassungsgerichtshof 2014 nach dem Kippen der entsprechenden EU-Richtlinie die Bestimmungen zur Vorratsdatenspeicherung aufhob. Die Gesetze widersprächen sowohl dem Grundrecht auf Datenschutz als auch Artikel 8 der Europäischen Menschenrechtskonvention, dem Recht auf Privat- und Familienleben, hieß es damals. Konkret geht es dabei um die systematische Speicherung von Telefon- und Internet-Verbindungsdaten der Bürger ohne direkten Fahndungsanlass mit dem Ziel, gegen schwerste Kriminalität und Terror umfangreich ermitteln zu können. Dazwischen wurde aber einiges wieder verschärft - und Österreich könnte sein aktuelles Modell neu überdenken müssen.

Denn nun  hat auch der Europäische Gerichtshof (EuGH) am Dienstag entschieden: Eine flächendeckende und pauschale Speicherung dieser Daten ist nicht zulässig. Ausnahmen seien nur möglich, wenn es um die Bekämpfung schwerer Kriminalität oder den konkreten Fall einer Bedrohung der nationalen Sicherheit gehe, so der EuGH.

Mit seiner Entscheidung bezog sich dieser auf Fälle aus Frankreich, Belgien und Großbritannien, in denen die nationalen Gerichte ihre Kollegen aus Luxemburg um eine Einschätzung gebeten hatten. Es ging um die Frage, ob einzelne EU-Staaten den Betreibern elektronischer Kommunikationsdienste allgemeine Pflichten zur Datenspeicherung auferlegen dürfen.

Das Thema beschäftigt die EU seit Jahren - und spaltet Sicherheitsbehörden, die mit dem Schutz der nationalen Sicherheit argumentieren, und Bürgerrechtler. Anlass waren verheerende Terroranschläge in Madrid und London, nach denen eine EU-Richtlinie seit 2006 allen Staaten vorschrieb, dass Anbieter von Telekommunikationsdiensten EU-weit Telefon- und E-Mail-Daten zwischen sechs und 24 Monate lang auf Vorrat speichern müssen.

Im April 2014 kippte der EuGH diese Richtlinie jedoch vollständig mit dem Argument, sie verstoße gegen Grundrechte. In Österreich war die Regelung zur Vorratsdatenspeicherung 2012 in Kraft getreten und wurde - wie gesagt - 2014 vom VfGH aufgehoben.

"Quick-Freeze" in Österreich

Zwei Jahre später, im Dezember 2016, gab es eine neue EuGH-Entscheidung zu dem Thema: Die Datenspeicherung sei zur Bekämpfung schwerer Straftaten zulässig, so der EuGH. Sie müsse aber "auf das absolut Notwendige" beschränkt werden, Datenabfragen dürften nur auf richterliche Anordnung erfolgen, und der Rechtsschutz müsse gewährleistet sein.

Österreich zog 2017 mit einer Nachfolgeregelung für die umstrittene Vorratsdatenspeicherung und dem Recht zur Anlassdatenspeicherung ("Quick-Freeze") nach - was nun allerdings neu überdacht werden könnte. Denn die Staatsanwaltschaft hat seitdem das Recht, die Telekombetreiber zur Speicherung der Daten einzelner Kunden zu verpflichten. Gespeichert wird dabei etwa, wer mit wem telefoniert und wo er sich dabei aufhält. Laut EU-Recht dürfen Vorratsdaten aber nur zur Aufklärung schwerer Straftaten verwendet werden, "Quick-Freeze" ist indes bereits ab einem drohenden Strafrahmen von sechs Monaten erlaubt, was nicht unter schwere Straftat fällt. Außerdem ist die Speicherung bis zu zwölf Monate zulässig - bei der Vorratsdatenspeicherung sind es nur sechs Monate.

Datenschutzexperte Werner Pilgermair geht daher davon aus, dass sich Österreich nach dem aktuellen EuGH-Urteil die bestehende Regelung noch einmal im Detail ansehen wird müssen. "Es geht in Richtung Bringschuld, nur bei ganz konkreten Anlässen die Daten speichern zu dürfen", sagt Pilgermair zur "Wiener Zeitung". "Mit seiner aktuellen Entscheidung hat der EuGH diese Richtung nur noch einmal bekräftigt."

Datenschutzexperte hofft auf E-Privacy-Verordnung

An diese gebunden sei zwar zunächst nur das nationale Gericht, das sich mit einem Vorabentscheidungsersuchen an den EuGH gewandt hatte. Wenn Österreich seine Gesetze aber nicht selbst anpasst, müsse ein Betroffener in einem Anlassfall gerichtlich dagegen vorgehen. Die Anpassung müsse spätestens dann erfolgen, wenn die EU-weite, schon länger geplante E-Privacy-Verordnung kommt: Eine Ergänzung zu der 2018 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO), die ebenfalls den Schutz personenbezogener Daten gewährleisten soll und speziell dem Bereich der elektronischen Telekommunikation gewidmet ist. Ziel der E-Privacy-Verordnung ist es, europaweit die Vertraulichkeit in der elektronischen Kommunikation sicherzustellen.

"Datenschutzrechtlich gesehen ist alles, was die anlassbezogene Sichtweise bei der Datenspeicherung bekräftigt, willkommen", so Pilgermair. Die E-Privacy-Verordnung hätte ursprünglich gemeinsam mit der DSGVO beschlossen werden sollen - und sei längst überfällig.

Österreichische Politiker begrüßten das EuGH-Urteil. Das höchste europäische Gericht stärke damit den Datenschutz in der EU, hieß es von der SPÖ, den Grünen und den Neos.