Rechtssache C‑548/21

CG

gegen

Bezirkshauptmannschaft Landeck

(Vorabentscheidungsersuchen des Landesverwaltungsgerichts Tirol)

Urteil des Gerichtshofs (Große Kammer) vom 4. Oktober 2024

„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten – Richtlinie (EU) 2016/680 – Art. 3 Nr. 2 – Begriff ‚Verarbeitung‘ – Art. 4 – Grundsätze für die Verarbeitung personenbezogener Daten – Art. 4 Abs. 1 Buchst. c – Grundsatz der ‚Datenminimierung‘ – Art. 7, 8 und 47 sowie Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union – Erfordernis, dass eine Einschränkung der Ausübung eines Grundrechts ‚gesetzlich vorgesehen‘ sein muss – Verhältnismäßigkeit – Beurteilung der Verhältnismäßigkeit anhand aller relevanten Gesichtspunkte – Vorherige Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsbehörde – Art. 13 – Der betroffenen Person zur Verfügung zu stellende oder zu erteilende Informationen – Grenzen – Art. 54 – Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter – Polizeiliche Ermittlungen im Bereich des Handels mit Suchtmitteln – Versuch der Polizeibehörden, ein Mobiltelefon zu entsperren, um für die Zwecke dieser Ermittlungen Zugang zu den darauf gespeicherten Daten zu erlangen“

  1. Rechtsangleichung – Telekommunikationssektor – Verarbeitung personenbezogener Daten und Schutz der Privatsphäre in der elektronischen Kommunikation – Richtlinie 2002/58 – Geltungsbereich – Versuch der Polizeibehörden, für die Zwecke strafrechtlicher Ermittlungen Zugang zu den auf einem Mobiltelefon gespeicherten Daten zu erlangen – Kein Tätigwerden von Anbietern elektronischer Kommunikationsdienste – Ausschluss

    (Richtlinie 2002/58 des Europäischen Parlaments und des Rates in der durch die Richtlinie 2009/136 geänderten Fassung, Art. 1 Abs. 1 und 3 und Art. 3)

    (vgl. Rn. 57-59)

  2. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts – Richtlinie 2016/680 – Anwendungsbereich – Versuch der Polizeibehörden, für die Zwecke strafrechtlicher Ermittlungen Zugang zu den auf einem Mobiltelefon gespeicherten Daten zu erlangen – Einbeziehung

    (Richtlinie 2016/680 des Europäischen Parlaments und des Rates, Art. 2 Abs. 1 und Art. 3 Nr. 2)

    (vgl. Rn. 71-77)

  3. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts – Richtlinie 2016/680 – Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten – Grundsätze der Datenminimierung und der Verhältnismäßigkeit – Polizeiliche Ermittlungen im Bereich des Handels mit Suchtmitteln – Nationale Regelung, die den zuständigen Behörden die Möglichkeit gibt, zum Zweck der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten im Allgemeinen auf die auf einem Mobiltelefon gespeicherten Daten zuzugreifen – Zulässigkeit – Voraussetzungen

    (Charta der Grundrechte der Europäischen Union, Art. 7, 8 und 52 Abs. 1; Richtlinie 2016/680 des Europäischen Parlaments und des Rates, Art. 4 Abs. 1 Buchst. c)

    (vgl. Rn. 84-86, 89-93, 95-106, 109, 110, Tenor 1)

  4. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts – Richtlinie 2016/680 – Information der betroffenen Person – Recht auf einen wirksamen gerichtlichen Rechtsbehelf – Polizeiliche Ermittlungen im Bereich des Handels mit Suchtmitteln – Nationale Regelung, die es den zuständigen Behörden gestattet, zu versuchen, auf Daten zuzugreifen, die auf einem Mobiltelefon gespeichert sind, ohne die betroffene Person über die Gründe für die Gestattung zu informieren – Unzulässigkeit – Pflicht der zuständigen Behörden, die betroffene Person über diese Gründe zu informieren – Umfang

    (Charta der Grundrechte der Europäischen Union, Art. 47 und 52 Abs. 1; Richtlinie 2016/680 des Europäischen Parlaments und des Rates, Art. 13 und 54)

    (vgl. Rn. 115-123, Tenor 2)

Zusammenfassung

Die mit einem Vorabentscheidungsersuchen des Landesverwaltungsgerichts Tirol (Österreich) befasste Große Kammer des Gerichtshofs präzisiert zum einen die Voraussetzungen, unter denen die zuständigen Behörden angesichts der Richtlinie 2016/680 ( 1 ) zum Zweck der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten im Allgemeinen Zugang zu den auf einem Mobiltelefon gespeicherten Daten erlangen können. Zum anderen bestätigt sie, dass die betroffene Person das Recht hat, über die Gründe informiert zu werden, auf denen die Gestattung des Zugriffs auf solche Daten beruht, sobald die Übermittlung dieser Informationen die diesen Behörden obliegenden Aufgaben nicht mehr beeinträchtigen kann.

Am 23. Februar 2021 beschlagnahmten österreichische Zollbeamte im Zuge einer Suchtmittelkontrolle ein an CG adressiertes Paket, in dem sich 85 g Cannabiskraut befanden. Das Paket wurde sodann den österreichischen Polizeibehörden zur Prüfung übermittelt. Am 6. März 2021 nahmen zwei Polizeibeamte im Rahmen polizeilicher Ermittlungen im Bereich des Handels mit Suchtmitteln eine Durchsuchung der Wohnung von CG vor und befragten ihn zum Absender des Pakets. Da CG es ablehnte, den Polizeibeamten Einsicht in die Verbindungsdaten seines Mobiltelefons zu gewähren, stellten die Polizeibeamten das Mobiltelefon sicher.

In der Folge versuchten verschiedene Polizeibeamte mehrmals, das Mobiltelefon von CG zu entsperren. Sowohl für die Sicherstellung des Telefons als auch für die späteren Versuche seiner Auswertung durch die Polizeibeamten lag keine Genehmigung der Staatsanwaltschaft oder eines Richters vor.

Am 31. März 2021 erhob CG beim vorlegenden Gericht Beschwerde gegen die Sicherstellung seines Mobiltelefons, das ihm am 20. April 2021 zurückgegeben wurde. CG wurde nicht unverzüglich über die Versuche der Auswertung seines Telefons informiert und erlangte davon erst im Rahmen des beim vorlegenden Gericht anhängigen Verfahrens Kenntnis.

In diesem Kontext möchte das vorlegende Gericht wissen, ob ein umfassender und unkontrollierter Zugang zu allen auf einem Mobiltelefon gespeicherten Daten angesichts der Datenschutzrichtlinie für elektronische Kommunikation ( 2 ) einen Eingriff in Grundrechte ( 3 ) darstellt, der so schwer ist, dass dieser Zugang auf die Bekämpfung schwerer Straftaten beschränkt werden muss. Ferner möchte es wissen, ob die Richtlinie ( 4 ) einer nationalen Regelung entgegensteht, wonach sich die Kriminalpolizei im Zuge eines strafrechtlichen Ermittlungsverfahrens ohne Genehmigung eines Gerichts oder einer unabhängigen Verwaltungsstelle einen umfassenden und unkontrollierten Zugang zu allen auf einem Mobiltelefon gespeicherten Daten verschaffen kann, und ob diese nationale Regelung, nach der die Polizeibehörden nicht verpflichtet sind, den Eigentümer eines Mobiltelefons über Maßnahmen zu dessen digitaler Auswertung zu informieren, mit dem Recht auf einen wirksamen gerichtlichen Rechtsbehelf vereinbar ist.

Würdigung durch den Gerichtshof

Zunächst stellt der Gerichtshof fest, dass ein unmittelbar von den Polizeibehörden, ohne Tätigwerden eines Anbieters elektronischer Kommunikationsdienste, unternommener Versuch, Zugang zu auf einem Mobiltelefon gespeicherten personenbezogenen Daten zu erlangen, wie es bei CG der Fall war, nicht in den Geltungsbereich der Datenschutzrichtlinie für elektronische Kommunikation fällt.

Ein solcher Zugriffsversuch fällt in den Anwendungsbereich der Richtlinie 2016/680. Der Unionsgesetzgeber wollte den Ausdruck „Verarbeitung“ ( 5 ) weit fassen, so dass Polizeibehörden, die ein Telefon sicherstellen und versuchen, darauf gespeicherte personenbezogene Daten auszulesen oder abzufragen, eine „Verarbeitung“ vornehmen, auch wenn es ihnen aus technischen Gründen nicht gelingen sollte, auf diese Daten zuzugreifen. Die Wirksamkeit des Grundsatzes der Zweckbindung ( 6 ) setzt nämlich zwingend voraus, dass der Zweck der Datenerhebung schon dann ermittelt wird, wenn die zuständigen Behörden versuchen, auf personenbezogene Daten zuzugreifen, da ein solcher Versuch, wenn er erfolgreich ist, es ihnen u. a. ermöglichen kann, die fraglichen Daten unverzüglich zu erheben, auszulesen oder abzufragen. Könnte ein solcher Versuch nicht als „Verarbeitung“ der Daten eingestuft werden, würde das hohe Schutzniveau für personenbezogene Daten natürlicher Personen in Frage gestellt. Desgleichen würde, wenn die Anwendbarkeit der Richtlinie 2016/680 vom Erfolg des Zugriffsversuchs auf personenbezogene Daten, die auf einem Mobiltelefon gespeichert sind, abhinge, sowohl für die zuständigen nationalen Behörden als auch für die Rechtsunterworfenen eine mit dem Grundsatz der Rechtssicherheit unvereinbare Unsicherheit geschaffen.

Sodann prüft der Gerichtshof, ob der Grundsatz der „Datenminimierung“ ( 7 ) als Ausdruck des Grundsatzes der Verhältnismäßigkeit einer nationalen Regelung entgegensteht, die den zuständigen Behörden die Möglichkeit gibt, zum Zweck der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten im Allgemeinen auf die auf einem Mobiltelefon gespeicherten Daten zuzugreifen, ohne die Ausübung dieser Möglichkeit einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle zu unterwerfen. Insoweit ist darauf hinzuweisen, dass bei Einschränkungen der Grundrechte im Bereich des Privat- und Familienlebens und des Schutzes personenbezogener Daten ( 8 ) der Grundsatz der Verhältnismäßigkeit gewahrt werden muss und dass sie nur vorgenommen werden dürfen, wenn sie erforderlich sind und von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen tatsächlich entsprechen. Bei einer Verarbeitung personenbezogener Daten im Rahmen polizeilicher Ermittlungen zur Ahndung einer Straftat – wie einem Versuch, auf die auf einem Mobiltelefon gespeicherten Daten zuzugreifen – ist grundsätzlich davon auszugehen, dass sie einer von der Union anerkannten dem Gemeinwohl dienenden Zielsetzung tatsächlich entspricht. Die Verhältnismäßigkeit von Einschränkungen der Ausübung der Grundrechte im Bereich der Achtung des Privatlebens und des Schutzes personenbezogener Daten, die sich aus einer solchen Verarbeitung ergeben, impliziert aber eine Gewichtung aller relevanten Gesichtspunkte des Einzelfalls.

Dabei ist erstens zur Schwere einer Einschränkung dieser Grundrechte durch eine Regelung, die es den zuständigen Polizeibehörden ermöglicht, ohne vorherige Genehmigung auf die auf einem Mobiltelefon gespeicherten Daten zuzugreifen, festzustellen, dass sich ein solcher Zugang, je nachdem, welche Inhalte sich auf dem in Rede stehenden Mobiltelefon befinden und welche Entscheidungen die Polizeibehörden treffen, auf eine sehr breite Palette von Daten erstrecken und somit sehr genaue Schlüsse auf das Privatleben der betroffenen Person zulassen kann. Daher ist ein solcher Eingriff in die Grundrechte im Bereich der Achtung des Privatlebens und des Schutzes personenbezogener Daten als schwerwiegend oder sogar besonders schwerwiegend einzustufen.

Zweitens stellt die Schwere der Straftat, die Gegenstand der Ermittlungen ist, einen zentralen Aspekt bei der Prüfung der Verhältnismäßigkeit des schwerwiegenden Eingriffs dar, um den es sich beim Zugang zu den auf einem Mobiltelefon gespeicherten personenbezogenen Daten handelt. Falls nur die Bekämpfung schwerer Kriminalität den Zugang zu solchen Daten rechtfertigen könnte, würden jedoch die Ermittlungsbefugnisse der zuständigen Behörden bei Straftaten im Allgemeinen eingeschränkt; dies würde den Besonderheiten der von diesen Behörden wahrgenommenen Aufgaben nicht gerecht und wäre dem Ziel der Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts in der Union abträglich. Um dem Erfordernis zu genügen, dass jede Einschränkung der Ausübung eines Grundrechts „gesetzlich vorgesehen“ sein muss ( 9 ), muss der nationale Gesetzgeber allerdings die zu berücksichtigenden Gesichtspunkte, insbesondere die Art oder die Kategorien der betreffenden Straftaten, hinreichend präzise definieren.

Drittens muss, um die Wahrung des Grundsatzes der Verhältnismäßigkeit sicherzustellen, der Zugang der zuständigen nationalen Behörden zu personenbezogenen Daten, wenn er die Gefahr eines schwerwiegenden oder sogar besonders schwerwiegenden Eingriffs in die Grundrechte der betroffenen Person mit sich bringt, von einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle abhängig gemacht werden. Diese Kontrolle muss jedem Zugriffsversuch auf die betreffenden Daten vorausgehen, außer in hinreichend begründeten Eilfällen, in denen die Kontrolle kurzfristig erfolgen muss. Im Rahmen dieser Kontrolle müssen Gerichte oder unabhängige Verwaltungsstellen befugt sein, einen in den Anwendungsbereich der Richtlinie 2016/680 fallenden Zugangsantrag ganz oder teilweise abzulehnen, wenn sie feststellen, dass der mit dem Zugang verbundene Eingriff in die Grundrechte unverhältnismäßig wäre. Im vorliegenden Fall muss der Zugang zu den auf einem Mobiltelefon gespeicherten Daten durch die zuständigen Polizeibehörden verweigert oder eingeschränkt werden, wenn unter Berücksichtigung der Schwere der Straftat und der Erfordernisse der Untersuchung ein Zugang zum Inhalt der Kommunikationen oder zu sensiblen Daten nicht gerechtfertigt erscheint.

Daraus zieht der Gerichtshof den Schluss, dass der Grundsatz der Datenminimierung im Licht der Rechte auf Schutz personenbezogener Daten und auf Achtung des Privatlebens einer nationalen Regelung, die den zuständigen Behörden die Möglichkeit gibt, zum Zweck der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten im Allgemeinen auf die auf einem Mobiltelefon gespeicherten Daten zuzugreifen, nicht entgegensteht. Ein solcher Zugang ist jedoch nur zulässig, wenn das Legalitätsprinzip und der Grundsatz der Verhältnismäßigkeit gewahrt werden und wenn die Ausübung des Rechts auf Zugang zu solchen Daten einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterliegt.

Schließlich äußert sich der Gerichtshof zu der Frage, ob CG von den Zugriffsversuchen auf die auf seinem Mobiltelefon gespeicherten Daten hätte in Kenntnis gesetzt werden müssen ( 10 ). Hierzu stellt er fest, dass die zuständigen nationalen Behörden, denen von einem Gericht oder einer unabhängigen Verwaltungsstelle der Zugang zu gespeicherten Daten gestattet wurde, die betroffenen Personen über die Gründe, auf denen die Gestattung beruht, informieren müssen, sobald dies die von diesen Behörden durchgeführten Ermittlungen nicht mehr beeinträchtigen kann. Ferner müssen die Behörden den betroffenen Personen sämtliche in der Richtlinie 2016/680 genannten Informationen ( 11 ) zur Verfügung stellen, damit diese Personen u. a. ihr Recht auf Einlegung eines wirksamen Rechtsbehelfs ( 12 ) ausüben können. Eine nationale Regelung, die generell jeden Anspruch auf Erlangung solcher Informationen ausschlösse, wäre daher nicht mit dem Unionsrecht vereinbar. Im vorliegenden Fall hätte CG vorab von den Zugriffsversuchen auf die auf seinem Mobiltelefon gespeicherten Daten in Kenntnis gesetzt werden müssen. Da das Mobiltelefon von CG bereits sichergestellt worden war, als die Polizeibehörden versuchten, es zu entsperren, ist nämlich nicht ersichtlich, dass seine Unterrichtung über die Zugriffsversuche geeignet gewesen wäre, die Ermittlungen zu beeinträchtigen. Der Gerichtshof kommt deshalb zu dem Ergebnis, dass die Bestimmungen der Richtlinie 2016/680 im Licht der Charta ( 13 ) einer nationalen Regelung entgegenstehen, die es den zuständigen Behörden gestattet, auf Daten zuzugreifen, die auf einem Mobiltelefon gespeichert sind, ohne die betroffene Person über die Gründe, auf denen die von einem Gericht oder einer unabhängigen Verwaltungsstelle erteilte Gestattung des Zugriffs auf solche Daten beruht, zu informieren, sobald die Übermittlung dieser Informationen die den Behörden obliegenden Aufgaben nicht mehr beeinträchtigen kann.

( 1 ) Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. 2016, L 119, S. 89).

( 2 ) Genauer gesagt von Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. 2002, L 201, S. 37) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 (ABl. 2009, L 337, S. 11) geänderten Fassung (im Folgenden: Datenschutzrichtlinie für elektronische Kommunikation).

( 3 ) Verankert in den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta).

( 4 ) Genauer gesagt Art. 15 Abs. 1 der Datenschutzrichtlinie für elektronische Kommunikation.

( 5 ) Nach Art. 3 Nr. 2 der Richtlinie 2016/680 bezeichnet der Ausdruck „Verarbeitung“„jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten …“

( 6 ) Art. 4 Abs. 1 Buchst. b der Richtlinie 2016/680.

( 7 ) Verankert in Art. 4 Abs. 1 Buchst. c der Richtlinie 2016/680, wonach die Mitgliedstaaten vorsehen müssen, dass personenbezogene Daten dem Verarbeitungszweck entsprechen, maßgeblich und in Bezug auf die Zwecke, für die sie verarbeitet werden, nicht übermäßig sind.

( 8 ) Art. 7 und 8 der Charta.

( 9 ) Art. 52 Abs. 1 der Charta.

( 10 ) Art. 47 der Charta.

( 11 ) Aufgeführt in Art. 13 Abs. 1 der Richtlinie 2016/680.

( 12 ) Art. 54 der Richtlinie 2016/680.

( 13 ) Genauer gesagt die Art. 13 und 54 der Richtlinie 2016/680 im Licht der Art. 47 und 52 Abs. 1 der Charta.