AUFFORDERUNG ZUR STELLUNGNAHME

ZU EINER FOLGENABSCHÄTZUNG

Bezeichnung der Initiative

Folgenabschätzung zur Vorratsdatenspeicherung durch Diensteanbieter für Strafverfahren

Federführende GD (zuständiges Referat)

HOME.D4

Voraussichtliche Art der Initiative

Vorläufiger Zeitplan

1. Quartal 2026

Weitere Angaben

Cyberkriminalität – Europäische Kommission; Hochrangige Gruppe für den Zugang zu Daten für eine wirksame Strafverfolgung – Europäische Kommission

   A. Politischer Kontext, Problemstellung und Subsidiaritätsprüfung

Politischer Kontext

Um Straftaten wirksam bekämpfen und verfolgen zu können, benötigen Polizei- und Justizbehörden möglicherweise Zugang zu bestimmten Nichtinhaltsdaten, die von Anbietern elektronischer Kommunikationsdienste verarbeitet werden. Wenn Anbieter nicht ausdrücklich verpflichtet sind, Daten für einen angemessenen und begrenzten Zeitraum aufzubewahren, kann es vorkommen, dass die Daten bereits gelöscht sind, wenn Behörden sie für Strafverfahren anfordern. Derzeit gibt es keinen EU-weiten Rechtsrahmen in diesem Bereich. Die meisten EU-Mitgliedstaaten haben diesbezüglich nationale Rechtsvorschriften, die in der EU aber nicht einheitlich sind. In anderen Mitgliedstaaten hingegen gibt es gar keine Vorschriften in diesem Bereich. Die fehlende Harmonisierung der Vorschriften für die Vorratsdatenspeicherung für wichtige Datenkategorien wurde von der Polizei, den Strafverfolgungsbehörden und den Justizbehörden als erhebliche Herausforderung für nationale Strafverfahren bei online sowie offline begangenen Straftaten genannt und behindert die grenzüberschreitende Zusammenarbeit in der gesamten EU. Die Sachverständigen der Hochrangigen Gruppe für den Zugang zu Daten widmeten sich diesem Thema und empfahlen die Annahme eines EU-Rahmens für die Vorratsdatenspeicherung zu Strafverfolgungszwecken, in dem auch Zugangsgarantien verankert werden. Sowohl Kommissionspräsidentin von der Leyen (1) (2) als auch die EU-Mitgliedstaaten (siehe die Schlussfolgerungen des Rates zum Zugang zu Daten für eine wirksame Strafverfolgung und zur Verstärkung der gemeinsamen Anstrengungen zur Terrorismusbekämpfung) betonten vor Kurzem, dass Maßnahmen erforderlich sind, um einen rechtmäßigen und wirksamen Zugang zu Daten zu Strafverfolgungszwecken zu gewährleisten. In der Mitteilung ProtectEU – eine Europäische Strategie für die innere Sicherheit verpflichtete sich die Kommission, 2025 einen Fahrplan vorzulegen, in dem das weitere Vorgehen in Bezug auf den rechtmäßigen und wirksamen Zugang zu Daten für die Strafverfolgung dargelegt wird, und einer Bewertung der Auswirkungen der Vorschriften über die Vorratsdatenspeicherung auf EU-Ebene Vorrang einzuräumen.

Gegenstand der Initiative

In einer digitalen Gesellschaft sind elektronische Beweismittel für die meisten strafrechtlichen Ermittlungen und Strafverfolgungsmaßnahmen von entscheidender Bedeutung. Nichtinhaltsdaten (z. B. Teilnehmerdaten, Sende- und Empfangsdaten einer Nachricht, Standort des Geräts, Datum, Uhrzeit, Dauer, Größe oder andere Interaktionsarten, aus denen der Inhalt der Kommunikation nicht hervorgeht) könnten für die Identifizierung oder Lokalisierung von Verdächtigen und/oder beschuldigten Personen, Opfern und allgemein für die Aufklärung einer Straftat entscheidend sein. Anbieter elektronischer Kommunikationsdienste speichern Nichtinhaltsdaten über Kommunikation, die über ihre Systeme abgewickelt wird. Da diese Nichtinhaltsdaten personenbezogener Natur sein können und Informationen über das Privatleben der Personen, auf die sie sich beziehen, beinhalten können, müssen Diensteanbieter sie gemäß den Grundrechten (insbesondere Artikel 7, 8 und 11 der Grundrechte-Charta) und den EU-Rechtsvorschriften zum Schutz der Privatsphäre und zum Datenschutz löschen, wenn sie für legitime Geschäftszwecke nicht mehr erforderlich sind. Die Speicherung von Daten über längere Zeiträume ist nur möglich, wenn dies zur Erfüllung spezifischer rechtlicher Verpflichtungen erforderlich ist. Seit der Entscheidung des Gerichtshofs der Europäischen Union im Jahr 2014 die EU-Richtlinie über die Vorratsdatenspeicherung wegen eines schwerwiegenden Eingriffs in die Grundrechte und des Fehlens hinreichender Schutzvorkehrungen in Bezug auf den Zugang für ungültig zu erklären, sieht das EU-Recht keine Verpflichtung für Diensteanbieter mehr vor, Daten zu Strafverfolgungszwecken zu speichern. Zwar bestehen solche Verpflichtungen in vielen EU-Mitgliedstaaten, allerdings gibt es innerhalb ihrer Rechtsvorschriften erhebliche Unterschiede bezüglich der Anforderungen an die Datenspeicherung. Dies hat zur Folge, dass Polizei und Staatsanwaltschaften bei ihrer Arbeit auf Hindernisse stoßen, da die erforderlichen Daten zum Zeitpunkt der Ermittlung oft nicht oder nicht mehr zur Verfügung stehen. In der derzeitigen Situation können einige Straftaten – insbesondere solche, die ausschließlich online stattfinden – nicht effizient untersucht und strafrechtlich verfolgt werden.

Durch die unterschiedlichen rechtlichen Anforderungen in den einzelnen Mitgliedstaaten und häufige Änderungen der nationalen Rechtsvorschriften aufgrund von Urteilen auf nationaler und/oder EU-Ebene 1 sind Anbieter elektronischer Kommunikationsdienste, die ihre Dienste EU-weit anbieten wollen, mit hohen Kosten und Hindernissen konfrontiert. Darüber hinaus gelten die meisten nationalen Vorschriften über die Vorratsdatenspeicherung nur für traditionelle Telekommunikationsplattformen und decken Kommunikationsanbieter, die ihre Dienste über das Internet anbieten, nicht ab – dabei werden gerade diese heutzutage am häufigsten genutzt. Die unterschiedlichen nationalen Rechtsvorschriften wirken sich auch auf die Bürgerinnen und Bürger aus, da die erforderlichen Nichtinhaltsdaten zum Zeitpunkt von strafrechtlichen Ermittlungen möglicherweise bereits gelöscht wurden. Die Behörden könnten daher nicht in der Lage sein, die Menschen angemessen zu schützen und für Gerechtigkeit zu sorgen. Diese Unterschiede zwischen den nationalen Rechtsvorschriften dürften mit dem Aufkommen neuer digitaler Kommunikationstechnologien und -dienste in der Zukunft weiter zunehmen.

Das Problem ist die fehlende Harmonisierung der Anforderungen und der Schutzvorkehrungen in Bezug auf die Datenspeicherung für die Anbieter elektronischer nummerngebundener oder nummernunabhängiger Kommunikationsdienste. Die Daten werden nicht länger als für die spezifischen geschäftlichen Zwecke nötig gespeichert, wodurch sie nicht lang genug für Strafverfolgungszwecke verfügbar sind.

Grundlage für das Tätigwerden der EU (Rechtsgrundlage und Subsidiaritätsprüfung)

Rechtsgrundlage

Die Rechtsgrundlage ist festzulegen und hängt vom Ergebnis der Folgenabschätzung ab.

Notwendigkeit eines Tätigwerdens der Union

Die ermittelten Herausforderungen können von den einzelnen Mitgliedstaaten allein nicht zufriedenstellend bewältigt werden. Werden keine Maßnahmen auf EU-Ebene ergriffen, müssen die Mitgliedstaaten ihre nationalen Rechtsvorschriften weiter aktualisieren, um die Anforderungen aus der Rechtsprechung des Gerichtshofs der EU, des Europäischen Gerichtshofs für Menschenrechte und der nationalen Gerichte umzusetzen. Zudem müssen sie auf neue und aufkommende Technologien reagieren, was die Gefahr birgt, dass die Vorschriften immer weiter auseinander gehen. Dadurch würden die negativen Auswirkungen auf EU-Bürgerinnen und -Bürger, strafrechtliche Ermittlungen, Anbieter elektronischer Kommunikationsdienste und andere relevante Interessenträger verstärkt. Gleichzeitig muss im Einklang mit der Rechtsprechung des Gerichtshofs der Europäischen Union sichergestellt werden, dass der Eingriff in die Grundrechte der Nutzerinnen und Nutzer durch die Verpflichtungen in Bezug auf Vorratsdatenspeicherung und Zugang zu Daten verhältnismäßig ist. Gesetze zur Vorratsdatenspeicherung berühren eine Vielzahl von Politikbereichen, darunter Sicherheit, Justiz, Grundrechte und Wirtschaft, und betreffen verschiedene Interessenträger (z. B. Behörden, Unternehmen, Bürgerinnen und Bürger). Angesichts der Auswirkungen auf den EU-Binnenmarkt und den EU-Raum der Freiheit, der Sicherheit und des Rechts könnten Maßnahmen auf EU-Ebene die beste Lösung für die festgestellten Probleme darstellen. Das Hauptziel der EU-Maßnahmen könnte darin bestehen, eine harmonisierte Anwendung der Verpflichtungen zur Vorratsdatenspeicherung für Diensteanbieter sicherzustellen, einschließlich Schutzvorkehrungen in Bezug auf den Zugang durch die Polizei- und Justizbehörden, um Rechtssicherheit für die einschlägigen Interessenträger und gleiche Wettbewerbsbedingungen für Diensteanbieter in der EU zu gewährleisten.

B. Ziele und Optionen

Das Hauptziel der Initiative besteht darin, die Verfügbarkeit bestimmter Kategorien von Nichtinhaltsdaten für die Zwecke erfolgreicher strafrechtlicher Ermittlungen und Strafverfolgungsmaßnahmen sicherzustellen, wobei die EU-Standards für den Schutz der Grundrechte, die Cybersicherheit und die Integrität des EU-Marktes geachtet und gewahrt werden müssen.

Zur Erfüllung dieses Ziels wird die Kommission verschiedene Optionen prüfen und bewerten. Dazu gehören:

– unverbindliche Maßnahmen zur Verbesserung der Zusammenarbeit zwischen Behörden und Anbietern elektronischer Kommunikationsdienste (sowohl nummerngebunden als auch nummernunabhängig), wie gemeinsame Standards auf EU-Ebene für die Datenkategorisierung, Formulare für die Anforderung und Bereitstellung von Daten, Leitlinien zu Mindestspeicherfristen für Teilnehmerdaten und IP-Adressen mit Zeitstempel, freiwillige Zusammenarbeit;

– legislative Maßnahmen zur Festlegung verbindlicher Anforderungen an alle Diensteanbieter, die unter den europäischen Kodex für die elektronische Kommunikation 2 fallen, in Bezug auf die Speicherung von und den Zugang zu Nichtinhaltsdaten im Einklang mit der geltenden Rechtsprechung des Gerichtshofs der Europäischen Union. Je nachdem, welche Nichtinhaltsdaten im Zusammenhang mit der zu verfolgenden Straftat aufbewahrt werden müssen, könnten unterschiedliche legislative Lösungen entwickelt werden.

Die am besten geeignete Option wird während der Folgenabschätzung auf der Grundlage der gesammelten Erkenntnisse, der Konsultation der Interessenträger und nach einem Vergleich der verschiedenen Optionen ermittelt.

C. Voraussichtliche Auswirkungen

Es wird erwartet, dass diese Initiative Auswirkungen auf mehrere Bereiche haben wird:

Gesellschaftliche Auswirkungen: Die Verfügbarkeit von Nichtinhaltsdaten würde den Behörden dabei helfen, Straftaten wirksamer aufzudecken, zu untersuchen und zu verfolgen und so sowohl online als auch offline eine sicherere Gesellschaft für die Bürgerinnen und Bürger der EU zu gewährleisten. Positive Auswirkungen dürfte es sowohl auf die nationalen Strafverfahren als auch auf die grenzüberschreitende Zusammenarbeit bei der Kriminalitätsbekämpfung geben.

Wirtschaftliche Auswirkungen: Die Anbieter elektronischer Kommunikationsdienste würden zusätzliche Befolgungskosten und Rechtsunsicherheit vermeiden können, die sich aus den derzeitig unterschiedlichen rechtlichen und technischen Anforderungen der EU-Mitgliedstaaten, in denen sie niedergelassen oder tätig sind, ergeben. Mit der Initiative sollen Wegen zum Abbau von Hindernissen für die Erbringung von Dienstleistungen im EU-Binnenmarkt bewertet werden. Gleichzeitig werden dadurch die Kosten für die Vorratsdatenspeicherung in Mitgliedstaaten steigen, in denen derzeit keine Verpflichtung zur Vorratsdatenspeicherung zu Strafverfolgungszwecken besteht.

Auswirkungen auf die Grundrechte: Die gespeicherten und zugänglichen Nichtinhaltsdaten könnten den Behörden Informationen über das Privatleben von Personen liefern, auf die sich diese Daten beziehen, und damit in die Grundrechte zum Schutz ihres Privatlebens (Artikel 7 der Charta der Grundrechte der Europäischen Union), ihrer personenbezogenen Daten (Artikel 8) und ihrer Meinungsfreiheit (Artikel 11) eingreifen. Eine bessere Fähigkeit der Behörden, Nichtinhaltsdaten abzurufen und Beweismittel in Strafverfahren zu erlangen, würde dem öffentlichen Interesse an einer wirksameren Aufdeckung und Verfolgung von Straftaten sowie dem freien Dienstleistungsverkehr im EU-Binnenmarkt dienen und könnte zu mehr Gerechtigkeit für Opfer, Verdächtige und beschuldigte Personen führen. Sollten die in der Folgenabschätzung in Betracht gezogenen Optionen die Grundrechte einschränken, so werden diese und der Eingriff in solche Rechte gegeneinander abgewogen, und es wird umfassend geprüft, ob angemessene Schutzvorkehrungen vorgesehen sind, um ihre Notwendigkeit und Verhältnismäßigkeit zur Erreichung des angestrebten Ziels sicherzustellen.

D. Instrumente für eine bessere Rechtsetzung

Folgenabschätzung

Die Kommission wird eine Folgenabschätzung durchführen, um die Vorschriften über die Vorratsdatenspeicherung auf EU-Ebene gegebenenfalls zu aktualisieren. Im zweiten/dritten Quartal 2025 wird gemäß der Politik der Kommission für eine bessere Rechtsetzung eine öffentliche Konsultation durchgeführt. Die Kommission wird Erkenntnisse aus verschiedenen Quellen, einschließlich der breiten Öffentlichkeit, auf unterschiedliche Weise sammeln, z. B. durch diese öffentliche Aufforderung zur Stellungnahme und Umfragen, die sich an die einschlägigen Interessenträger richten.

Konsultationsstrategie

Die Kommission plant mehrere Konsultationsmaßnahmen zur Unterstützung dieser Initiative. Diese dienen der Sammlung von Erkenntnissen und Sichtweisen eines breiten Spektrums von Interessenträgern. Die wichtigsten Konsultationstätigkeiten umfassen Folgendes:

-Rückmeldungen zu dieser Aufforderung zur Stellungnahme;

-Rückmeldungen zu einer öffentlichen Konsultation, die 12 Wochen lang in allen Amtssprachen der EU auf der Website der Kommission „Ihre Meinung zählt“ veröffentlicht wird;

-gezielte Konsultationen mit einschlägigen Interessenträgern in Form von Befragungen und Umfragen, um auch quantitative und qualitative Nachweise für die Notwendigkeit und Verhältnismäßigkeit dieser Maßnahmen zu sammeln.

Im Einklang mit der Politik der Europäischen Kommission für eine bessere Rechtsetzung zur Entwicklung von Initiativen, die sich auf die besten verfügbaren Erkenntnisse stützen, rufen wir auch Forschende, Hochschuleinrichtungen, wissenschaftliche Gesellschaften und Wissenschaftsverbände mit Fachwissen in den mit der Initiative verbundenen Technik- und Politikbereichen auf, einschlägige veröffentlichte wissenschaftliche Forschungsarbeiten, Analysen und Daten und entsprechende Vorabdrucke einzureichen. Die Kommission ist besonders an Beiträgen interessiert, in denen der aktuelle Wissensstand in dem bzw. den einschlägigen Bereichen zusammengefasst wird.

Die Kommission wird einen zusammenfassenden Bericht mit den Beiträgen zu der öffentlichen Konsultation veröffentlichen. Sie wird außerdem die Rückmeldungen zu dieser Aufforderung zur Stellungnahme und die Ergebnisse aller anschließenden Konsultationen in einem zusammenfassenden Bericht als Anlage zur Folgenabschätzung analysieren (Arbeitsunterlage der Kommissionsdienststellen).

Zweck der Konsultation

Ziel der Konsultation ist es, sicherzustellen, dass sich die Folgenabschätzung auf umfangreiche quantitative und qualitative Erkenntnisse und Fachkenntnisse stützt, und es Interessenträgern (einschließlich Bürgerinnen und Bürgern und denjenigen, die von dieser Initiative unmittelbar betroffen wären) zu ermöglichen, ihre Meinungen und Beiträge zu den möglichen Optionen für das weitere Vorgehen abzugeben.

Adressaten

Zu den wichtigsten Kategorien von Interessenträgern, die von der Kommission konsultiert werden sollen, gehören: die Öffentlichkeit; Personen, die im Bereich der öffentlichen Sicherheit tätig sind (Justiz, Inneres und Digitalpolitik); Polizei- und Justizbehörden; Sachverständige für Cybersicherheit; Behörden, die für den Datenschutz und den Schutz der Privatsphäre zuständig sind; Berufsverbände von Anwälten; Hochschulen, Forschende und Denkfabriken; Organisationen der Zivilgesellschaft, die sich für digitale Rechte, die Rechte von Opfern oder allgemeiner für Grundrechte einsetzen; Industrie.

(1)      Aus der jüngsten Analyse von Eurojust und dem Europäischen Justiziellen Netz gegen Cyberkriminalität (EJCN) mit dem Titel „ The effect of Court of Justice of the European Union case-law on national data retention regimes and judicial cooperation in the EU “ (Die Auswirkungen der Rechtsprechung des Gerichtshofs der Europäischen Union auf die nationalen Regelungen zur Vorratsdatenspeicherung und die justizielle Zusammenarbeit in der EU) geht hervor, dass zwölf Mitgliedstaaten (BE, DK, EE, IE, FR, HR, IT, LV, LT, PT, SK, SE) als direkte Folge der Rechtssache C-746/18, Prokuratuur, und der verbundenen Rechtssachen C-511/18, C-512/18 und C-520/18, La Quadrature du Net u. a., zwischen 2018 und 2022 wesentliche Änderungen ihrer Rechtsvorschriften vorgenommen haben; in vier Mitgliedstaaten gibt es keine verbindlichen Vorschriften mehr für die Vorratsdatenspeicherung für strafrechtliche Ermittlungen (DE, NL, RO, SI), S. 6.
(2)      Artikel 2 Nummer 4 der Richtlinie (EU) 2018/1972: „‚elektronische Kommunikationsdienste‘: gewöhnlich gegen Entgelt über elektronische Kommunikationsnetze erbrachte Dienste, die – mit der Ausnahme von Diensten, die Inhalte über elektronische Kommunikationsnetze und -dienste anbieten oder eine redaktionelle Kontrolle über sie ausüben – folgende Dienste umfassen:a) ‚Internetzugangsdienste‘ im Sinne der Begriffsbestimmung des Artikels 2 Absatz 2 Nummer 2 der Verordnung (EU) 2015/2120,b) interpersonelle Kommunikationsdienste undc) Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen, wie Übertragungsdienste, die für die Maschine-Maschine-Kommunikation und für den Rundfunk genutzt werden“.