Die einen hatten es befürchtet, die anderen erhofft: den gerichtlichen Stopp der Speicherung von telekommunikativen Verkehrs- und Standortdaten auf Vorrat in Deutschland. Dass es das Oberverwaltungsgericht NRW war, das letzte Woche das wohl mehr als vorläufige Ende der Vorratsdatenspeicherung besiegelte, kam durchaus überraschend, das Ergebnis als solches hingegen weniger: Denn der erste Sargnagel war das strenge Urteil des EuGH zur Vorratsdatenspeicherungsrichtlinie der EU vom 8. April 2014; der zweite, noch wichtigere, die verschärfende Konkretisierung im Folgeurteil des Luxemburger Gerichtshofs vom 21. Dezember 2016 zur schwedischen und britischen Vorratsdatenspeicherung. Überraschen dürfte so manchen, dass der Todesstoß nicht nur im einstweiligen Rechtsschutz, sondern auch noch durch ein Oberverwaltungsgericht – und nicht vom Bundesverfassungsgericht – versetzt wurde. So ist die Entscheidung aus Münster nicht nur für die Zukunft der Vorratsdatenspeicherung von großem Interesse, sondern auch für den immer komplexeren Grundrechtsschutz im Mehrebenensystem.

Aber der Reihe nach: Der Beschluss erging in einem verwaltungsgerichtlichen Verfahren zwischen einem IT-Unternehmen und der Bundesnetzagentur. Das Unternehmen machte geltend, dass die in einem neuerlichen Anlauf vom Bundesgesetzgeber Ende 2015 beschlossenen und zum 1. Juli 2017 umzusetzenden Speicherpflichten gegen deutsche und europäische Grundrechte verstießen. Für die Sanktionierung von Verstößen gegen die Speicherpflichten ist die Bundesnetzagentur zuständig, und die ging davon aus, dass die deutsche Regelung deutlich anders sei als diejenige der damaligen Richtlinie und auch anders als in Schweden und im Vereinigten Königreich. Sie müsse daher weiterhin angewendet werden.

Das sieht das OVG NRW in seinem unanfechtbaren Beschluss aber anders und begründet dies ausführlich in drei großen Schritten. Zunächst stellt das Gericht fest, dass bei derartigen Normen, die »self-executing« sind, ein »hinreichend konkretes feststellungsfähiges Rechtsverhältnis« zwischen der Vollzugsbehörde und dem Normadressaten bestehe und daher eine Sicherungsanordnung statthaft sei. Wegen der Gewaltenteilung sei ein vorbeugender Rechtsschutz allerdings nur bei einem qualifizierten Rechtsschutzbedürfnis begründet. Dieses ergebe sich aus der Sanktionsbewehrung der Speicherpflichten. Im Kern ging es im vorliegenden Eilverfahren um einen Verstoß nationalen Rechts gegen Unionsrecht. Das liegt jenseits des Prüfungsmaßstabs des Bundesverfassungsgerichts. Auch der EuGH ist nicht auf den Plan gerufen, da es nicht um das einstweilige Nichtanwenden von Unionsrecht geht. So erfüllt das OVG eine notwendige Rechtsschutzfunktion.

Der zweite Argumentationsschritt ist für Verfechter der Vorratsdatenspeicherung schmerzhaft, aber unausweichlich. Denn hier begründet das OVG den Verstoß des deutschen Gesetzes gegen Art. 15 Abs. 1 der Telekommunikationsrichtlinie 2002/58/EG. Diese Bestimmung erlaubt den Mitgliedstaaten die Einführung entsprechender Speicherpflichten. Der EuGH hat in dem schwedisch-britischen Fall aber unmissverständlich klargemacht, dass diese Norm insbesondere im Lichte des Kommunikationsgeheimnisses aus Art. 7 und des Datenschutzgrundrechts aus Art. 8 der Grundrechte-Charta äußerst streng auszulegen ist.

Konnte der deutsche Gesetzgeber mit viel Optimismus im Dezember 2015 noch davon ausgehen, mit seiner Regelung die Hürden des Urteils zur Vorratsdatenspeicherungsrichtlinie aus dem Jahr 2014 überwinden zu können, war spätestens seit Dezember 2016 klar: Der EuGH meint es sehr ernst mit den datenschutzrechtlichen Grenzen nicht nur für den Unionsgesetzgeber, sondern auch für die nationalen Parlamente. Zudem versteht der EuGH seine umfassenden Vorgaben kumulativ. Die strenge Erfüllung etwa der Sicherungspflichten eröffnet keineswegs »kompensatorische« Spielräume bei den übrigen Anforderungen. Das gilt auch für die anspruchsvolle Anforderung eines hinreichenden Zusammenhangs zwischen den zu speichernden Daten und dem damit verfolgten Ziel. Dieser Zusammenhang muss entweder in zeitlicher, persönlicher oder örtlicher Hinsicht hergestellt werden. Die Hürden sind hier so hoch, dass eine Vorratsdatenspeicherung klassischer Provenienz praktisch unmöglich ist. Am deutlichsten wird das an der vom EuGH eröffneten Option, doch eine geografische Beschränkung vorzunehmen, sobald hinreichende objektive Anhaltspunkte dafür vorliegen, dass »in einem oder mehreren geografischen Gebieten ein erhöhtes Risiko« schwerer Straftaten – wie terroristischer Anschläge – besteht. Was heißt das für die zuständigen Behörden nach den Anschlägen von London und Manchester und Tätern, die zuvor an einem beliebigen Ort auf dem Staatsgebiet kommuniziert haben können? Zulässig ist womöglich eine Speicherung noch bei einem unmittelbar zu erwartenden Anschlag und dann mit strenger Befristung auch im gesamten Staatsgebiet. Die viel weiter gehenden Pflichten im deutschen TKG sind hingegen offensichtlich nicht haltbar. Das OVG zieht hier unionsrechtstreu die Konsequenzen aus dem Dezember-Urteil des EuGH. Dass der EuGH den nationalen Gesetzgebern nicht größere Spielräume belassen hat, ist bedauerlich, aber von den mitgliedstaatlichen Gerichten hinzunehmen.

So vergleichsweise klar die Rechtslage in diesem zweiten Teil des Münsteraner Argumentationsgangs ist, so dünn und angreifbar wird die Begründung im entscheidenden dritten Teil. Denn zu Recht stellt das OVG für das deutsche Recht fest, dass es bislang nicht hinreichend geklärt ist, ob ein Telekommunikationsanbieter selbst entsprechende Eingriffe in Grundrechte Dritter im Rahmen einer Inzidentkontrolle erfolgreich geltend machen kann, ob also eine Verletzung des Telekommunikationsgeheimnisses der Nutzer automatisch zu einer Verletzung der Berufsfreiheit der Diensteanbieter führt. Umso erstaunlicher ist es dann aber, dass das OVG dies für das Unionsrecht als geklärt ansieht. Die dazu angeführten Belege tragen diese Behauptung jedoch keineswegs. Das Gegenteil dürfte plausibler sein. Dass damit über das Vehikel der unternehmerischen Freiheit aus Art. 16 GRC die Vorratsdatenspeicherung in Deutschland zu Fall kommt, obwohl diese Norm – wohl auch nach Einschätzung des OVG selbst – dazu an sich nicht ausgereicht hätte und auch in den Verfahren vor dem EuGH bislang keine Rolle gespielt hat, ist nicht frei von Ironie. Ob Unternehmen tatsächlich die Grundrechtsverletzungen Dritter aktivieren können, wäre im Rahmen einer Vorlage an den EuGH im Hauptsacheverfahren zu ergründen.

Die Bundesnetzagentur hat erfreulicherweise rasch Klarheit darüber geschaffen, wie sie angesichts dieses Beschlusses vorzugehen gedenkt. Sie verzichtet nun auf einen Vollzug dieser Normen bis zur Entscheidung in der Hauptsache. Allerdings könnte es dazu nicht mehr kommen. Denn die Entscheidung ist materiell hinsichtlich der Bewertung der Unionsrechtswidrigkeit der deutschen Regelung richtig. Vielleicht wird nun doch der deutsche Gesetzgeber die entsprechenden Konsequenzen ziehen und das Gesetz aufheben. Dazu wird die Große Koalition im Wahlkampfmodus in dieser Legislaturperiode allerdings kaum die nötige Zeit und Kraft haben. Befriedigend ist das weder für die Unternehmen noch für die von der Datenspeicherung Betroffenen noch für die auf die Daten zur Verbrechensbekämpfung angewiesenen Behörden. Ob das Ende der Vorratsdatenspeicherung die damit einhergehenden Sicherheitsverluste durch entsprechende Freiheitsgewinne aufwiegt, ist schwer zu beurteilen. Denn nach wie vor sind die Vor- und Nachteile kaum hinreichend empirisch aufbereitet – jedenfalls nicht in den Luxemburger Urteilen. Die dortige Abwägung arbeitet mit eher theoretischen und hypothetischen Annahmen wie dem »Gefühl« der Betroffenen, »dass ihr Privatleben Gegenstand einer ständigen Überwachung ist«. Schade. Ein so umstrittenes Instrument wie die Vorratsdatenspeicherung hätte etwas stärkere empirische Analysen verdient, bevor es grundrechtlich verworfen wird.