Der Europäische Gerichtshof für Menschenrechte hat sich im Urteil Podchasov vs. Russland vom 13. Februar 2024 mit der Frage beschäftigt, wann eine Verpflichtung zur Entschlüsselung von Daten konventionskonform ist.
Das massgebliche russische Recht verpflichtet sog. “Organisatoren der Informationsverbreitung im Internet”, alle Kommunikationsdaten ein Jahr und Inhaltsdaten sechs Monate lang auf russischem Boden vorzuhalten und sie den Behörden in bestimmten Fällen herauszugeben, entschlüsselt oder mit einer Entschlüsselungsmöglichkeit, und mit Personendaten der Nutzer. Laut dem Kläger – Hr. Podchasov, ein Telegram-Nutzer – verletzen diese Anforderungen an Telegram die EMRK. Telegram enthält eine optionale Ende-zu-Ende-Verschlüsselung.
Der EGMR gibt ihm recht. Das einschlägige russische Recht ist unverhältnismässig und verletzt Art. 8 EMRK:
- Personendaten zu speichern stellt für sich genommen einen Eingriff i.S.v. Art. 8 EMRK dar, unabhängig von einer Verwendung, und wie schon 2015 in Roman Zakharov festgehalten, stellt die Existenz der russischen Überwachungsmassnahmen einen Eingriff dar, auch ohne Zugriff, angesichts des geheimen Charakters, des breiten Anwendungsbereichs und des Fehlens wirksamer Mittel zur Anfechtung;
- eine Rechtfertigung käme nur durch eine rechtsstaatliche Grundlage in Frage, die insbesondere verhältnismässig ist. Sie fehlt in Russland. Zwar muss der Datenzugriff von einem Gericht genehmigt werden, aber die Anbieter müssen Geräte installieren, die Strafverfolgungsbehörden einen direkten Fernzugriff auf die gespeicherten Daten ermöglichen, und die richterliche Genehmigung brauchen sie dem Anbieter nicht vorzuweisen;
- Verschlüsselung hat eine besondere Bedeutung, u.a. weil sie das Privatleben und das Briefgeheimnis im Internet schützt;
- es ist technisch offenbar unmöglich, Schlüssel für einzelne Nutzer von Telegram zur Verfügung zu stellen – die Entschlüsslung würde die gesamte Ende-zu-Ende-verschlüsselte Kommunikation betrreffen, was die Verschlüsselungstechnologie von Telegram als solche schwächt.
Der EGMR verweist in der Begründung u.a. auf
- den “Report on the right to privacy in the digital age” des Office of the United Nations High Commissioner for Human Rights (A/HRC/51/17);
- den Anhang der “Recommendation CM/Rec(2012)4 of the Committee of Ministers to member States on the protection of human rights with regard to social networking services”,
- das Urteil des EuGH i.S. Digital Rights Ireland;
- den Schrems II-Entscheid des EuGH;
- das Joint Statement von Europol und ENISA “lawful criminal investigation that respects 21st Century data protection”;
- die Joint Opinion 04/2022 des EDSA und des EDPS “on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse”.