DA+

Urteil : Konkretisierte Vorgaben für die Vorratsdatenspeicherung : aus der RDV 4/2024, Seite 239 bis 243

(EuGH, Urteil vom 30. April 2024 – C-470/21 –)

Archiv RDV
Lesezeit 19 Min.

Art.  15 Abs.  1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.07.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25.11.2009 geänderten Fassung ist im Licht der Artt. 7, 8 und 11 sowie von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, die der mit dem Schutz von Urheberrechten und verwandten Schutzrechten vor Verletzungen dieser Rechte im Internet betrauten Behörde den Zugang zu den von den Betreibern öffentlich zugänglicher elektronischer Kommunikationsdienste auf Vorrat gespeicherten Identitätsdaten, die IP-Adressen zuzuordnen sind, die zuvor von Einrichtungen der Rechteinhaber gesammelt wurden, gestattet, damit die Behörde die Inhaber dieser für Aktivitäten, die solche Rechtsverletzungen darstellen können, genutzten Adressen identifizieren und gegebenenfalls Maßnahmen gegen sie ergreifen kann, unter der Voraussetzung, dass nach dieser Regelung

▪ diese Daten zu Bedingungen und unter technischen Modalitäten gespeichert werden, die gewährleisten, dass es ausgeschlossen ist, dass aus der Vorratsspeicherung genaue Schlüsse auf das Privatleben der Inhaber der IP-Adressen, z.B. durch Erstellung ihres detaillierten Profils, gezogen werden können, was insbesondere dadurch erreicht werden kann, dass den Betreibern elektronischer Kommunikationsdienste eine Pflicht zur Vorratsspeicherung der verschiedenen Kategorien personenbezogener Daten wie Identitätsdaten, IP-Adressen sowie Verkehrs- und Standortdaten auferlegt wird, die eine wirksame strikte Trennung dieser verschiedenen Datenkategorien gewährleistet, mit der im Stadium der Speicherung jede kombinierte Nutzung dieser verschiedenen Datenkategorien verhindert wird, und die Dauer der Speicherung das absolut notwendige Maß nicht überschreitet;

▪ der Zugang dieser Behörde zu solchen wirksam strikt getrennt auf Vorrat gespeicherten Daten ausschließlich dazu dient, die Person zu identifizieren, die im Verdacht steht, eine Straftat begangen zu haben, und dieser Zugang mit den erforderlichen Garantien versehen ist, um auszuschließen, dass er, abgesehen von atypischen Situationen, genaue Schlüsse auf das Privatleben der Inhaber der IP-Adressen ermöglichen kann, z.B. durch die Erstellung ihres detaillierten Profils, was insbesondere impliziert, dass es den Bediensteten dieser Behörde, denen ein solcher Zugang gestattet worden ist, untersagt ist, Informationen über den Inhalt der von den Inhabern der IP-Adressen konsultierten Dateien, außer zum alleinigen Zweck der Befassung der Staatsanwaltschaft, in welcher Form auch immer offenzulegen, die von diesen Personen besuchten Internetseiten nachzuverfolgen und allgemeiner die IP-Adressen zu anderen Zwecken als dem der Identifizierung ihrer Inhaber im Hinblick auf den Erlass etwaiger gegen sie gerichteter Maßnahmen zu nutzen;

▪ die Möglichkeit für die bei der betreffenden Behörde mit der Prüfung des Sachverhalts betrauten Personen, solche Daten mit Dateien zu verknüpfen, die Elemente enthalten, denen sich der Titel geschützter Werke entnehmen lässt, deren Bereitstellung im Internet die Sammlung der IP-Adressen durch Einrichtungen der Rechteinhaber gerechtfertigt hat, in Fällen der erneuten Entfaltung einer Aktivität, mit der dieselbe Person Urheberrechte oder verwandte Schutzrechte verletzt, von einer Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle abhängig gemacht wird, wobei die Kontrolle nicht vollständig automatisiert sein darf und vor einer solchen Verknüpfung erfolgen muss, da diese es in derartigen Fällen ermöglichen kann, genaue Schlüsse auf das Privatleben der Person zu ziehen, deren IP-Adresse für Aktivitäten genutzt wurde, die möglicherweise Urheberrechte oder verwandte Schutzrechte verletzen;

▪ das von der Behörde verwendete Datenverarbeitungssystem in regelmäßigen Abständen einer zur Überprüfung der Integrität des Systems, einschließlich wirksamer Garantien zum Schutz vor den Gefahren eines missbräuchlichen oder unberechtigten Zugangs zu den Daten und ihrer missbräuchlichen oder unberechtigten Nutzung, sowie seiner Wirksamkeit und Zuverlässigkeit bei der Aufdeckung etwaiger Verstöße dienenden Kontrolle durch eine unabhängige Stelle unterliegt, bei der es sich im Verhältnis zu dieser Behörde um einen Dritten handelt.

Zu den Vorlagefragen:

Mit seinen drei Vorlagefragen, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 15 Abs. 1 der Richtlinie 2002/58 im Licht der Artt. 7, 8 und 11 sowie von Art. 52 Abs. 1 der Charta dahin auszulegen ist, dass er einer nationalen Regelung entgegensteht, wonach die mit dem Schutz von Urheberrechten und verwandten Schutzrechten vor im Internet begangenen Verstößen betraute Behörde Zugang zu den von den Betreibern öffentlich zugänglicher elektronischer Kommunikationsdienste auf Vorrat gespeicherten Identitätsdaten, die den zuvor von Einrichtungen der Rechteinhaber gesammelten IP-Adressen zuzuordnen sind, erhält, damit die Behörde die Inhaber dieser für Aktivitäten, die möglicherweise solche Verstöße darstellen, genutzten Adressen identifizieren und gegebenenfalls ihnen gegenüber Maßnahmen ergreifen kann, ohne dass dieser Zugang vom Erfordernis einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle abhängt.

Zum Vorliegen einer Rechtfertigung des Zugangs einer Behörde zu Identitätsdaten, die einer IP-Adresse zuzuordnen sind und von den Betreibern elektronischer Kommunikationsdienste zur Bekämpfung der online begangenen Nachahmung auf Vorrat gespeichert werden, gem. Art. 15 Abs. 1 der Richtlinie 2002/58.

Zu den Anforderungen an die Vorratsspeicherung von Identitätsdaten und der ihnen zuzuordnenden IP-Adressen durch die Betreiber elektronischer Kommunikationsdienste.

[…]

Daher muss sich ein Mitgliedstaat, der den Betreibern elektronischer Kommunikationsdienste eine Pflicht zur allgemeinen und unterschiedslosen Vorratsspeicherung von IP-Adressen auferlegen möchte, um ein mit der Bekämpfung von Straftaten im Allgemeinen verbundenes Ziel zu erreichen, vergewissern, dass die Modalitäten der Vorratsspeicherung dieser Daten zu gewährleisten vermögen, dass jede Kombination der IP-Adressen mit anderen unter Beachtung der Richtlinie 2002/58 auf Vorrat gespeicherten Daten ausgeschlossen ist, die es ermöglichen würde, genaue Schlüsse auf das Privatleben der Personen zu ziehen, deren Daten in dieser Weise gespeichert wurden.

Um sicherzustellen, dass eine solche, genaue Schlüsse auf das Privatleben der betreffenden Person ermöglichende Kombination von Daten ausgeschlossen ist, müssen die Modalitäten der Vorratsspeicherung die Struktur der Speicherung als solche betreffen, die im Wesentlichen so gestaltet sein muss, dass eine wirksame strikte Trennung der verschiedenen Kategorien auf Vorrat gespeicherter Daten gewährleistet ist.

[…]

Erstens müssen die […] nationalen Regeln sicherstellen, dass jede Kategorie von Daten, einschließlich der Identitätsdaten und der IP-Adressen, völlig getrennt von den übrigen Kategorien auf Vorrat gespeicherter Daten gespeichert wird.

Zweitens müssen diese Regeln gewährleisten, dass in technischer Hinsicht eine wirksame strikte Trennung zwischen den verschiedenen Kategorien auf Vorrat gespeicherter Daten, u. a. den Identitätsdaten, den IP-Adressen, den verschiedenen Verkehrsdaten außer den IP-Adressen und den verschiedenen Standortdaten durch eine abgesicherte und zuverlässige Datenverarbeitungseinrichtung stattfindet.

Drittens dürfen die Regeln, soweit sie die Möglichkeit vorsehen, die auf Vorrat gespeicherten IP-Adressen mit der Identität des Betroffenen zu verknüpfen, unter Beachtung der Anforderungen, die sich aus Art.  15 Abs.  1 der Richtlinie 2002/58 im Licht der Artt. 7, 8 und 11 der Charta ergeben, eine solche Verknüpfung nur unter Verwendung eines leistungsfähigen technischen Verfahrens erlauben, das die Wirksamkeit der strikten Trennung dieser Datenkategorien nicht in Frage stellt.

Viertens muss die Zuverlässigkeit dieser strikten Trennung regelmäßig Gegenstand einer Kontrolle durch eine andere Behörde als die sein, die Zugang zu den von den Betreibern elektronischer Kommunikationsdienste auf Vorrat gespeicherten personenbezogenen Daten begehrt.

Soweit im anwendbaren nationalen Recht solche strengen Anforderungen an die Modalitäten der allgemeinen und unterschiedslosen Vorratsspeicherung von IP-Adressen und anderen von den Betreibern elektronischer Kommunikationsdienste gespeicherten Daten vorgesehen sind, kann der Eingriff, der sich aus dieser Speicherung der IP-Adressen ergibt, schon aufgrund der Struktur ihrer Speicherung nicht als „schwer“ eingestuft werden.

Falls eine solche gesetzliche Regelung geschaffen wird, schließen die durch sie vorgeschriebenen Modalitäten der Speicherung der IP-Adressen nämlich eine Kombination dieser Daten mit anderen unter Beachtung der Richtlinie 2002/58 gespeicherten Daten aus, die es ermöglichen würde, genaue Schlüsse auf das Privatleben des Betroffenen zu ziehen.

Folglich hindert, sofern es eine den oben in den Rn. 86 bis 89 dargelegten Anforderungen entsprechende gesetzliche Regelung gibt, die gewährleistet, dass keine Kombination von Daten genaue Schlüsse auf das Privatleben der fraglichen Person zulassen wird, Art. 15 Abs. 1 der Richtlinie 2002/58 im Licht der Artt.  7, 8 und 11 der Charta den betreffenden Mitgliedstaat nicht daran, mit dem Ziel der Bekämpfung von Straftaten im Allgemeinen eine Pflicht zur allgemeinen und unterschiedslosen Vorratsspeicherung von IP-Adressen aufzustellen.

Schließlich muss eine solche gesetzliche Regelung, wie sich aus Rn. 168 des Urt. v. 06.10.2020, La Quadrature du Net u. a. (C-511/18, C-512/18 und C-520/18, EU:C:2020:791), ergibt, eine auf das absolut Notwendige und die begrenzte Dauer der Speicherung vorsehen und durch klare und präzise Regeln sicherstellen, dass bei der Speicherung der fraglichen Daten die für sie geltenden materiellen und prozeduralen Voraussetzungen eingehalten werden und dass die Betroffenen über wirksame Garantien zum Schutz vor Missbrauchsgefahren sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung verfügen. […]

Zu den Anforderungen an den Zugang zu den einer IP-Adresse zuzuordnenden Identitätsdaten, die von den Betreibern elektronischer Kommunikationsdienste gespeichert werden

Nach der Rechtsprechung des Gerichtshofs können im Bereich der Bekämpfung von Straftaten nur die Ziele der Bekämpfung schwerer Kriminalität oder der Verhütung schwerer Bedrohungen der öffentlichen Sicherheit den schweren Eingriff in die durch die Artt. 7 und 8 der Charta garantierten Grundrechte rechtfertigen, der mit dem Zugang der Behörden zu einem Satz von Verkehrs- oder Standortdaten verbunden ist, die geeignet sind, Informationen über die Kommunikation eines Nutzers eines elektronischen Kommunikationsmittels oder über den Standort der von ihm verwendeten Endgeräte zu liefern, aus denen genaue Schlüsse auf das Privatleben der Betroffenen gezogen werden können, ohne dass andere die Verhältnismäßigkeit eines Zugangsantrags betreffende Faktoren wie die Länge des Zeitraums, für den der Zugang zu solchen Daten begehrt wird, dazu führen können, dass das Ziel, Straftaten im Allgemeinen zu verhüten, zu ermitteln, festzustellen und zu verfolgen, einen solchen Zugang zu rechtfertigen vermag (Urt. v. 02.03.2021, Prokuratuur [Voraussetzungen für den Zugang zu Daten über die elektronische Kommunikation], C-746/18, EU:C:2021:152, Rn. 35).

[…]

Ferner muss die nationale Regelung klare und präzise Regeln vorsehen, mit denen sichergestellt werden kann, dass die unter Beachtung der Richtlinie 2002/58 auf Vorrat gespeicherten IP-Adressen nur zur Identifizierung der Person genutzt werden können, der eine bestimmte IP-Adresse zugewiesen wurde, während sie eine Nutzung ausschließen, die es ermöglicht, mittels einer oder mehrerer IP-Adressen die Online-Aktivität dieser Person zu überwachen. Wird eine IPAdresse somit nur dazu genutzt, ihren Inhaber im Rahmen eines spezifischen Verwaltungsverfahrens, das zu seiner strafrechtlichen Verfolgung führen kann, zu identifizieren, und nicht zu Zwecken, die etwa darauf abzielen, seine Kontakte oder seinen Standort herauszufinden, so betrifft der allein zu diesem Zweck dienende Zugang zu der IP-Adresse diese als Identitätsdatum und nicht als Verkehrsdatum.

Außerdem ergibt sich aus dem oben in Rn. 97 angeführten, zur ständigen Rechtsprechung gehörenden Grundsatz, dass ein Zugang, wie er der Hadopi nach der im Ausgangsverfahren in Rede stehenden nationalen Regelung zusteht, da mit ihm das Ziel der Bekämpfung von Straftaten im Allgemeinen verfolgt wird, nur bei IP-Adressen gerechtfertigt sein kann, die von den Betreibern elektronischer Kommunikationsdienste für die Zwecke dieses Ziels und nicht für die Zwecke eines Ziels von größerer Bedeutung wie dem der Bekämpfung schwerer Kriminalität gespeichert werden müssen; dies gilt jedoch unbeschadet eines Zugangs, der durch ein solches Ziel der Bekämpfung von Straftaten im Allgemeinen gerechtfertigt ist, wenn er IP-Adressen betrifft, die unter den Voraussetzungen von Art.  6 der Richtlinie 2002/58 auf Vorrat gespeichert werden.

Außerdem kann, wie sich aus den Rn. 85 bis 92 des vorliegenden Urteils ergibt, die auf einer Rechtsvorschrift im Sinne von Art. 15 Abs. 1 der Richtlinie 2002/58 beruhende Vorratsspeicherung von IP-Adressen für die Zwecke der Bekämpfung von Straftaten im Allgemeinen gerechtfertigt sein, wenn die durch die betreffende gesetzliche Regelung eingeführten Modalitäten dieser Speicherung einer Reihe von Anforderungen genügen, die im Wesentlichen eine wirksame strikte Trennung der verschiedenen Kategorien auf Vorrat gespeicherter Daten gewährleisten sollen, so dass die Kombination von Daten verschiedener Kategorien effektiv ausgeschlossen ist. Falls den Betreibern elektronischer Kommunikationsdienste solche Modalitäten der Vorratsspeicherung auferlegt werden, stellt eine allgemeine und unterschiedslose Vorratsspeicherung der IP-Adressen nämlich keinen schweren Eingriff in das Privatleben ihrer Inhaber dar, da diese Daten es nicht erlauben, genaue Schlüsse auf ihr Privatleben zu ziehen.

Falls eine solche gesetzliche Regelung geschaffen wird, kann daher in Anbetracht der oben in den Rn. 95 bis 97 angeführten Rechtsprechung der Zugang zu den für die Zwecke der Bekämpfung von Straftaten im Allgemeinen auf Vorrat gespeicherten IP-Adressen nach Art.  15 Abs.  1 der Richtlinie 2002/58 gerechtfertigt sein, wenn dieser Zugang allein dazu dient, die Person zu identifizieren, die im Verdacht steht, an solchen Taten beteiligt zu sein.

Überdies steht es im Einklang mit der Rechtsprechung des Gerichtshofs zum „Recht auf Auskunft“ im Kontext eines Verfahrens wegen Verletzung eines Rechts des geistigen Eigentums wie des in Art. 8 der Richtlinie 2004/48 vorgesehenen, wenn einer Behörde, wie der Hadopi, Zugang zu den einer öffentlichen IP-Adresse zuzuordnenden Identitätsdaten gewährt wird, die ihr von Einrichtungen der Rechteinhaber allein zu dem Zweck übermittelt wurde, den Inhaber dieser für Online-Aktivitäten, die Urheberrechte oder verwandte Schutzrechte verletzen können, genutzten Adresse zu identifizieren, um gegen ihn eine der im Rahmen des Verfahrens der abgestuften Reaktion vorgesehenen Maßnahmen zu verhängen (vgl. i.d.S. Urt. v. 29.01.2008, Promusicae, C-275/06, EU:C:2008:54, Rn. 47 ff.).

[…]

Sofern eine nationale Regelung die […] genannten Voraussetzungen erfüllt, ermöglichen die einer Behörde wie der Hadopi übermittelten IP-Adressen somit keine Nachverfolgung der von ihrem Inhaber besuchten Internetseiten; dies spricht dafür, dass der mit dem Zugang dieser Behörde zu den im Ausgangsverfahren in Rede stehenden Identifizierungsdaten verbundene Eingriff nicht als schwerwiegend eingestuft werden kann.

Drittens ist darauf hinzuweisen, dass für die Zwecke des aufgrund des Erfordernisses der Verhältnismäßigkeit in Art. 15 Abs. 1 S. 1 der Richtlinie 2002/58 vorzunehmenden Ausgleichs der in Rede stehenden Rechte und Interessen, auch wenn die Freiheit der Meinungsäußerung und die Vertraulichkeit personenbezogener Daten vorrangige Anliegen sind und die Nutzer von Telekommunikations- und Internetdiensten die Garantie haben müssen, dass ihre Intimität und ihr Recht auf freie Meinungsäußerung gewahrt werden, diese Grundrechte nicht absolut sind. Im Rahmen einer Abwägung der in Rede stehenden Rechte und Interessen müssen sie nämlich bisweilen hinter anderen Grundrechten und Erfordernissen des Allgemeininteresses wie der Verteidigung der öffentlichen Ordnung und der Verhütung von Straftaten oder dem Schutz der Rechte und Freiheiten anderer zurücktreten. Dies ist insbesondere dann der Fall, wenn die diesen vorrangigen Anliegen beigemessene Priorität geeignet ist, die Wirksamkeit strafrechtlicher Ermittlungen zu beeinträchtigen, etwa indem die tatsächliche Identifizierung eines Straftäters und die Verhängung einer Sanktion gegen ihn unmöglich gemacht oder übermäßig erschwert werden (vgl. entsprechend EGMR, 02.03.2009, K. U./Finnland, CE:ECHR:2008:1202JUD000287202, § 49).

In diesem Kontext ist, wie der Gerichtshof bereits entschieden hat, gebührend zu berücksichtigen, dass bei online begangenen Straftaten der Zugang zu IP-Adressen die einzige Ermittlungsmaßnahme darstellen kann, die eine effektive Identifizierung der Person ermöglicht, der diese Adresse zugewiesen war, als die Tat begangen wurde (vgl. i.d.S. Urt. v. 06.10.2020, La Quadrature du Net u. a., C-511/18, C-512/18 und C-520/18, EU:C:2020:791, Rn. 154).

Dieser Umstand spricht, wie auch der Generalanwalt in Nr.  59 seiner Schlussanträge vom 28.09.2023 im Wesentlichen ausgeführt hat, dafür, dass die Vorratsspeicherung dieser Adressen und der Zugang zu ihnen zur Bekämpfung von Straftaten wie online begangenen Verletzungen von Urheberrechten oder verwandten Schutzrechten zur Erreichung des verfolgten Ziels zwingend erforderlich sind und daher dem durch Art. 15 Abs. 1 der Richtlinie 2002/58 im Licht ihres 11. Erwägungsgrundes und von Art. 52 Abs. 2 der Charta vorgeschriebenen Erfordernis der Verhältnismäßigkeit entsprechen.

Würde ein solcher Zugang nicht gestattet, bestünde im Übrigen, wie der Generalanwalt im Wesentlichen in den Nrn. 78 bis 80 seiner Schlussanträge vom 27.10.2022 sowie in den Nrn. 80 und 81 seiner Schlussanträge vom 28.09.2023 hervorgehoben hat, eine echte Gefahr der systemischen Straflosigkeit nicht nur von Straftaten in Form der Verletzung der Urheberrechte oder verwandter Schutzrechte, sondern auch von anderen Arten von Straftaten, die online begangen werden oder deren Begehung oder Vorbereitung durch die Merkmale des Internets erleichtert wird. Das Bestehen einer solchen Gefahr ist ein relevanter Umstand, wenn im Rahmen einer Abwägung der verschiedenen betroffenen Rechte und Interessen beurteilt wird, ob ein Eingriff in die Rechte, die durch die Artt. 7, 8 und 11 der Charta garantiert werden, eine gemessen am Ziel der Bekämpfung von Straftaten verhältnismäßige Maßnahme ist. […]

Zum Erfordernis einer Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle vor dem Zugang einer Behörde zu Identitätsdaten, die einer IP-Adresse zuzuordnen sind.

Es stellt sich jedoch die Frage, ob der Zugang der Behörde zu Identitätsdaten, die einer IP-Adresse zuzuordnen sind, zudem von einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle abhängig gemacht werden muss.

Um in der Praxis die vollständige Einhaltung der Voraussetzungen zu gewährleisten, die die Mitgliedstaaten vorsehen müssen, um sicherzustellen, dass der Zugang auf das absolut Notwendige beschränkt wird, hat der Gerichtshof es für „unabdingbar“ erachtet, dass der Zugang der zuständigen nationalen Behörden zu Verkehrs- und Standortdaten einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterworfen wird (vgl. i.d.S. Urt. vom 21.12.2016, Tele2 Sverige und Watson u. a., C-203/15 und C-698/15, EU:C:2016:970, Rn. 120, v. 06.10.2020, La Quadrature du Net u. a., C-511/18, C-512/18 und C-520/18, EU:C:2020:791, Rn. 189, v. 02.03.2021, Prokuratuur [Voraussetzungen für den Zugang zu Daten über die elektronische Kommunikation], C-746/18, EU:C:2021:152, Rn. 51, und v. 05.04.2022, Commissioner of An Garda Síochána u. a., C-140/20, EU:C:2022:258, Rn. 106).

Diese vorherige Kontrolle setzt erstens voraus, dass das mit ihr betraute Gericht oder die mit ihr betraute unabhängige Verwaltungsstelle über alle Befugnisse verfügt und alle Garantien aufweist, die erforderlich sind, um zu gewährleisten, dass die verschiedenen einander gegenüberstehenden berechtigten Interessen und Rechte in Einklang gebracht werden. Speziell im Fall strafrechtlicher Ermittlungen verlangt eine solche Kontrolle, dass das Gericht oder die Stelle in der Lage ist, für einen gerechten Ausgleich zwischen den berechtigten Interessen, die sich aus den Erfordernissen der Ermittlungen im Rahmen der Kriminalitätsbekämpfung ergeben, und den Grundrechten auf Achtung des Privatlebens und den Schutz personenbezogener Daten der Personen, auf deren Daten zugegriffen wird, zu sorgen (Urt. v. 05.04.2022, Commissioner of An Garda Síochána u. a., C-140/20, EU:C:2022:258, Rn. 107 und die dort angeführte Rechtsprechung).

Zweitens muss, wenn die Kontrolle nicht von einem Gericht, sondern von einer unabhängigen Verwaltungsstelle wahrgenommen wird, diese über eine Stellung verfügen, die es ihr erlaubt, bei der Wahrnehmung ihrer Aufgaben objektiv und unparteiisch vorzugehen, ohne jede Einflussnahme von außen. Das Erfordernis, wonach die mit der Wahrnehmung der vorherigen Kontrolle betraute Stelle unabhängig sein muss, gebietet somit, dass es sich bei ihr um eine andere Stelle als die den Zugang zu den Daten begehrende Behörde handelt, damit diese Stelle in der Lage ist, ihre Kontrolle objektiv und unparteiisch, geschützt vor jeder Einflussnahme von außen, auszuüben. Im strafrechtlichen Bereich impliziert das Erfordernis der Unabhängigkeit insbesondere, dass die mit der vorherigen Kontrolle betraute Behörde zum einen nicht an der Durchführung des fraglichen Ermittlungsverfahrens beteiligt ist und zum anderen eine Position der Neutralität gegenüber den Beteiligten am Strafverfahren hat (Urt. v. 05.04.2022, Commissioner of An Garda Síochána u. a., C-140/20, EU:C:2022:258, Rn. 108 und die dort angeführte Rechtsprechung).

Drittens muss die nach Art. 15 Abs. 1 der Richtlinie 2002/58 erforderliche unabhängige Kontrolle vor jedem Zugang zu den betreffenden Daten erfolgen, außer in hinreichend begründeten Eilfällen, in denen die Kontrolle kurzfristig erfolgen muss. Eine spätere Kontrolle würde es nämlich nicht ermöglichen, dem Ziel der vorherigen Kontrolle zu entsprechen, das darin besteht, zu verhindern, dass ein über das absolut Notwendige hinausgehender Zugang zu den fraglichen Daten gewährt wird (Urt. v. 05.04.2022, Commissioner of An Garda Síochána u. a., C-140/20, EU:C:2022:258, Rn. 110).

[…]

Daher ist in Anbetracht des Grundsatzes der Verhältnismäßigkeit davon auszugehen, dass eine vorherige Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle geboten ist, wenn im Kontext einer nationalen Regelung, die den Zugang einer Behörde zu personenbezogenen Daten vorsieht, dieser Zugang die Gefahr eines schweren Eingriffs in die Grundrechte des Betroffenen in dem Sinne birgt, dass er es der Behörde ermöglichen könnte, genaue Schlüsse auf sein Privatleben zu ziehen und gegebenenfalls sein detailliertes Profil zu erstellen.

Umgekehrt besteht dieses Erfordernis einer vorherigen Kontrolle nicht, wenn der mit dem Zugang einer Behörde zu personenbezogenen Daten verbundene Eingriff in die betreffenden Grundrechte nicht als schwerwiegend eingestuft werden kann.

Dies ist der Fall, wenn der Zugang zu Identitätsdaten der Nutzer elektronischer Kommunikationsmittel allein zur Ermittlung des betreffenden Nutzers dient, ohne dass diese Daten mit Informationen über die erfolgte Kommunikation in Verbindung gebracht werden können, da nach der Rechtsprechung des Gerichtshofs der mit einer solchen Verarbeitung dieser Daten verbundene Eingriff grundsätzlich nicht als schwerwiegend eingestuft werden kann (vgl. i.d.S. Urt. v. 06.10.2020, La Quadrature du Net u. a., C-511/18, C-512/18 und C-520/18, EU:C:2020:791, Rn. 157 und 158).

[…]

Was schließlich die Modalitäten dieser vorherigen Kontrolle angeht, ist die französische Regierung der Ansicht, dass es angesichts der besonderen Merkmale des Zugangs der Hadopi zu den fraglichen Daten, insbesondere ihres großen Umfangs, angebracht wäre, wenn eine etwa erforderliche vorherige Kontrolle vollständig automatisiert würde. Mit einer solchen Kontrolle, die rein objektiven Charakter habe, solle nämlich im Wesentlichen überprüft werden, ob das Protokoll, mit dem die Hadopi befasst werde, alle nötigen Informationen und Daten enthalte, ohne dass die Hadopi diese zu würdigen habe.

Eine vorherige Kontrolle kann jedoch in keinem Fall vollständig automatisiert sein, da eine solche Kontrolle, wie aus der oben in Rn. 125 angeführten Rechtsprechung hervorgeht, bei strafrechtlichen Ermittlungen jedenfalls verlangt, dass das betreffende Gericht oder die betreffende unabhängige Verwaltungsstelle in der Lage ist, für einen gerechten Ausgleich zwischen den berechtigten Interessen, die sich aus den Erfordernissen der Ermittlungen im Rahmen der Kriminalitätsbekämpfung ergeben, und den Grundrechten auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten der Personen, auf deren Daten zugegriffen wird, zu sorgen.

Eine solche Abwägung der verschiedenen berechtigten Interessen und der betreffenden Rechte erfordert nämlich das Tätigwerden einer natürlichen Person, das umso notwendiger ist, als der automatisierte Ablauf und der große Umfang der in Rede stehenden Datenverarbeitung Gefahren für das Privatleben mit sich bringen.

Außerdem vermag eine vollständig automatisierte Kontrolle grundsätzlich nicht sicherzustellen, dass der Zugang nicht über das absolut Notwendige hinausgeht und dass die Personen, deren personenbezogene Daten betroffen sind, über wirksame Garantien vor Missbrauchsgefahren sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung verfügen.

Daher können automatisierte Kontrollen es zwar ermöglichen, bestimmte in den Protokollen der Einrichtungen der Rechteinhaber enthaltene Informationen zu überprüfen, doch müssen mit ihnen jedenfalls Kontrollen durch natürliche Personen einhergehen, die in vollem Umfang den oben in den Rn. 125 bis 127 aufgeführten Anforderungen genügen. […]