11 Europa und Internationales
Die Einbindung des Datenschutzes aus Schleswig-Holstein nicht nur in nationale, sondern auch in internationale Zusammenhänge geht weiter voran. Datenverarbeitung ist oft ein grenzüberschreitendes Geschäft. Daher muss dies auch für den Datenschutz gelten.
Die Zusammenarbeit des ULD mit internationalen Partnern erfolgt inzwischen auf sehr vielen Ebenen. Im Rahmen der Projektarbeit des ULD-i ist ein internationaler Austausch schon seit Jahren Standard (Tz. 8). Die Unterstützung des ULD bei dem Aufbau von rechtlichen Grundlagen und organisatorischen Strukturen zum Datenschutz in neuen oder künftigen EU-Mitgliedstaaten ist nicht nur eine Einbahnstraße. Die ULD-Mitarbeiterinnen und -Mitarbeiter knüpfen internationale Kontakte und sammeln Erfahrungen, die der praktischen Arbeit im eigenen Land zugute kommt. Nachdem ein Mitarbeiter des ULD über 15 Monate zu einem Twinning-Projekt nach Vilnius in Litauen abgeordnet war, betätigt sich das ULD nun als Projektpartner bei der Implementierung des Datenschutzes auf Malta.
Positiv ist die internationale, vor allem aber die europäische Resonanz auf die vom ULD als erster Datenschutzbehörde eingeführten Instrumente des Datenschutz-Gütesiegels und des Audits. Auf der 27. Internationalen Konferenz der Datenschutzbeauftragten in Montreux/Schweiz im September 2005, auf der das ULD mit einem eigenen Vortrag vertreten war, bestand Konsens, dass diese Instrumente weiterentwickelt werden müssen. Positive Resonanz kann das ULD diesbezüglich auch bei internationalen Konzernen verzeichnen, deren Interesse selbstverständlich vor allem darin liegt, ein europaweit einheitliches Gütesiegel erwerben zu können. Dieses Interesse verfolgt auch die nationale französische Datenschutzbehörde, die im Januar 2006 mit einer vierköpfigen Delegation in Kiel zu Besuch war, um für die Einführung eines französischen Gütesiegels von den Erfahrungen in Schleswig-Holstein zu profitieren (Tz. 9.2.6).
Eine wichtige Weiche wurde in der Europäischen Union (EU) gestellt, als die Zuständigkeit für den Datenschutz in der Kommission von der Generaldirektion "Binnenmarkt" zur Generaldirektion "Freiheit, Justiz und Sicherheit" wechselte. Damit wurde einerseits die bisherige Orientierung auf den grenzüberschreitenden Datenaustausch insbesondere in der Privatwirtschaft aufgegeben und zugleich der Datenschutz innerhalb der EU sowie in der staatlichen Verwaltung der EU-Mitgliedsländer in den Fokus genommen. Die Verortung des Datenschutzes unter dem Stichwort "Freiheit" ist zweifellos zu begrüßen. Doch ist ein großes Risiko darin zu sehen, dass nunmehr Sicherheit und Datenschutz bei der EU unter einem Dach vereint sind, was die Gefahr birgt, dass Konflikte zwischen diesen Zielen nicht mehr öffentlich, sondern nur noch innerhalb der Generaldirektion ausgetragen werden und hierbei der Datenschutz unter die Räder gerät. Ob sich diese Befürchtung bewahrheitet, muss die Zukunft zeigen.
11.1 Vorratsdatenspeicherung von Telekommunikationsverkehrsdaten
Nachdem Bestrebungen auf nationaler Ebene, Telekommunikationsverbindungsdaten für Sicherheitszwecke auf Vorrat speichern zu lassen, erfolglos geblieben sind, soll nun über die Europäische Union dieses Überwachungsinstrument rechtlich durchgesetzt werden.
Seit Jahren gibt es in Deutschland wie auch in anderen europäischen Ländern den Versuch, Telekommunikationsunternehmen zu verpflichten, die Verbindungsdaten der Nutzer nach Beendigung der Verbindung zu speichern, um hierauf im polizeilichen oder sonstigen sicherheitsbehördlichen Bedarfsfall zugreifen zu können (24. TB, Tz. 8.2; 25. TB, Tz. 8.5; 27. TB, Tz. 2.2). Bisher wurden diese Versuche vom Bundestag mit der richtigen Erwägung zurückgewiesen, dass es sich hierbei um eine verfassungsrechtlich nicht zulässige Vorratsdatenspeicherung handele. Die zum Verbindungsaufbau erhobenen Daten dürfen nicht allein wegen der völlig vagen Möglichkeit, sie könnten im Rahmen strafrechtlicher Ermittlungen benötigt werden, zweckentfremdet und langfristig vorgehalten werden. Damit würde die gesamte Bevölkerung unter einen Generalverdacht gestellt.
Die Diskussion wird nicht nur in Deutschland geführt, sondern in allen Mitgliedstaaten der EU. Einige von diesen haben nationale Regelungen erlassen, die Telekommunikationsunternehmen zur Vorratsdatenspeicherung verpflichten. Angesichts aktueller terroristischer Anschläge wurde der öffentliche Druck erhöht, eine entsprechende europaweite Verpflichtung einzuführen. Hiergegen hatte das Europäische Parlament lange erfolgreich Widerstand geleistet. Im Berichtsjahr wurde es nun politisch in die Zange genommen: Es wurde einerseits mit dem Entwurf eines sehr weit gehenden Rahmenbeschlusses des Europäischen Rates konfrontiert, zu dem das Parlament praktisch kein Mitspracherecht gehabt hätte, sowie mit einem weniger weit gehenden Richtlinienvorschlag der Kommission. Dies veranlasste das Europäische Parlament, Ende 2005 mit einer großen Mehrheit dem Kommissionsvorschlag zuzustimmen, der die obligatorische Speicherung von Telekommunikationsverkehrsdaten zwischen 6 und 24 Monaten auf Vorrat vorsieht.
Von dieser Art der elektronischen Überwachung sollen sämtliche Formen der Telekommunikation erfasst werden – nicht nur die Nutzung des Telefons, sondern auch von Fax, Mobilfunk, SMS, E-Mail sowie selbst jede Form der Internetnutzung. Der Zugriff auf diese Daten soll den Sicherheitsbehörden eingeräumt werden.
Näheres muss der nationale Gesetzgeber regeln. Durch die Wahl der kürzesten Speicherungsfrist von sechs Monaten und eine Eingrenzung der Speicheranlässe kann er versuchen, den Eingriff für Verbraucher wie auch für die TK-Unternehmen so gering wie möglich zu halten. Weitere Begrenzungen lassen sich durch inhaltliche Präzisierungen sowie durch technische und verfahrensrechtliche Vorschriften erreichen. Doch sämtliche Versuche der Schadensbegrenzung können nichts an dem Umstand ändern, dass langfristig das Telekommunikationsverhalten der gesamten Bevölkerung, und damit vor allem von völlig unverdächtigen und unschuldigen Menschen, registriert wird. Wir sind weiterhin davon überzeugt, dass dies verfassungsrechtlich unzulässig ist. Spätestens nach Umsetzung der EU‑Vorgaben in nationales Recht wird es zu einer Überprüfung durch das Bundesverfassungsgericht kommen. Entsprechende Klagen wurden schon angekündigt.
Wünschenswert wäre jedoch, dass die Vorratsdatenspeicherung schon auf europäischer Ebene gestoppt werden könnte. Der Europäische Gerichtshof kann feststellen, dass der Richtlinienbeschluss mit den Grundrechten auf Telekommunikationsfreiheit und Datenschutz, die auch auf EU-Ebene gelten, nicht vereinbar ist. Eine noch wirtschaftlichere Lösung bestünde darin, dass aufgrund der öffentlichen Debatte das EU-Parlament veranlasst würde, sich der Tragweite seiner Entscheidung bewusst zu werden und seine Entscheidung zurückzunehmen. Der Landtag Schleswig-Holstein hat diese Debatte schon aufgenommen.
Was ist zu tun?
Die Entscheidung zur Vorratsdatenspeicherung stellt eine Richtungsentscheidung für eine überwachte europäische Informationsgesellschaft dar. Auf allen Ebenen sollte versucht werden, diese aus Freiheitssicht folgenreiche Entscheidung rückgängig zu machen.
11.2 Grundsatz der Verfügbarkeit contra Zweckbindung
In einem Rahmenbeschluss will der Europäische Rat erreichen, dass im Grundsatz sämtliche Informationen aus der Strafverfolgung den Ermittlungsbehörden der anderen EU-Mitgliedstaaten zur Verfügung stehen. Dies steht im Widerspruch zu den Datenschutzgrundsätzen der Zweckbindung und der Verhältnismäßigkeit.
Es geht nicht nur um die Bekämpfung des Terrorismus. In jüngster Zeit sind auch schreckliche Sexualstraftaten und schwer wiegende Wirtschaftsdelikte bekannt geworden, wo Straftäter unbehelligt in einem EU-Mitgliedstaat weiter ihr Unwesen treiben konnten, obwohl über diese in einem anderen EU-Mitgliedstaat schon beachtliche Polizeierkenntnisse vorhanden waren, die aber den nun ermittelnden Strafverfolgern nicht verfügbar waren. Es ist aus polizeilicher Sicht daher sehr wohl verständlich, dass diese umfassend über die Erkenntnisse aus anderen Mitgliedstaaten informiert sein wollen. Diesem Bedürfnis versucht nun der Vorschlag für einen Rahmenbeschluss des Europäischen Rates gerecht zu werden. Darin werden die Mitgliedstaaten verpflichtet, gleichwertigen Strafverfolgungsbehörden und Europol die Daten zur Verfügung zu stellen, "die diese zur Erfüllung ihrer gesetzlichen Aufgaben im Hinblick auf die Verhütung, Aufdeckung und Untersuchung von Straftaten benötigen". Hierfür soll der gegenseitige Online-Zugang zu Strafverfolgungsdateien eröffnet werden. Zugegriffen werden soll zunächst auf folgende Daten: DNA-Profile, Fingerabdrücke, Kfz-Halterdaten, Telefonbestands- und Verbindungsdaten sowie Identifizierungs- und Personenstandsdaten. Soweit die online angebundenen Verfahren Indexdateien sind, sollen auch die Dokumente beschafft werden können, auf die hingewiesen wird.
Gegen eine intensivierte polizeiliche Zusammenarbeit wäre nichts einzuwenden, wenn zugleich auch die nötigen rechtsstaatlichen Sicherungen vorgesehen wären. Da es sich bei Strafverfolgungsdaten oft um Verdachtsdaten und um ungesicherte Erkenntnisse handelt und selbst Zeugen, Hinweisgeber oder Kontaktpersonen betroffen sein können, muss gewährleistet werden, dass über die Datenübermittlungen den betroffenen Menschen keine unangemessenen Nachteile entstehen. Derartige Sicherungen finden sich aber in dem vorliegenden Entwurf nicht. Für den Bereich der Strafverfolgung gibt es in der EU bisher keinerlei verbindliche Festlegungen zum Datenschutz. Zurückgegriffen wird bisher auf eine unverbindliche Empfehlung des Europarates aus dem Jahr 1987 zum Datenschutz bei der Polizei.
Um dieses Manko zu beheben, hat die EU-Kommission den Entwurf eines weiteren Ratsrahmenbeschlusses vorgelegt, der den Datenschutz bei der polizeilichen und justiziellen Zusammenarbeit in Strafsachen gewährleisten soll. Der vorliegende Text ist aber nicht geeignet, die Betroffenenbelange zu schützen. Er ergeht sich wortreich in allgemeinen Grundsätzen, um schließlich jede Datenverarbeitung zu erlauben, die nach nationalem Recht zugelassen wird und die "zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten oder zur Abwehr einer Bedrohung der öffentlichen Sicherheit oder einer Person erforderlich" ist, wenn keine "Interessen oder Grundrechte der betroffenen Person" überwiegen. Durch diese Abwägungsklausel ist letztendlich immer den beteiligten Strafverfolgungsbehörden die Bestimmung überlassen, unter welchen Voraussetzungen sich die Betroffeneninteressen den eigenen Interessen unterordnen müssen. Diese Festlegung ist aber Aufgabe des Gesetzgebers.
Der Entwurf des Rahmenbeschlusses nimmt keine Unterscheidung zwischen Strafverfolgung und Gefahrenabwehr vor. Jedes Bagatelldelikt kann den Austausch und die Nutzung von Daten legitimieren, selbst wenn dieses Delikt in einem der beteiligten Staaten nicht strafbar ist. Zwar wird zwischen verschiedenen Rollen der Betroffenen differenziert (z. B. Täter, Verdächtiger, Opfer, Hinweisgeber, Sonstiger), doch werden hieraus keinerlei materiellrechtliche Konsequenzen gezogen. Die Anwendbarkeit für Daten aus Akten wird ausgeschlossen. So lässt sich der Datenschutz im Bereich Justiz und Inneres der EU nicht gewährleisten!
Was ist zu tun?
Bevor umfassende Datenzugriffe zwischen den Strafverfolgern in der EU erlaubt werden, muss ein angemessener Datenschutzstandard bei allen Beteiligten festgeschrieben werden. Der geplante Rahmenbeschluss ist hierfür bisher nicht geeignet und muss grundlegend überarbeitet werden.
11.3 Das zweite Schengen: Der Vertrag von Prüm
Die Strafverfolger wollen nicht so lange warten, bis der Grundsatz der Verfügbarkeit EU-weit durchgesetzt ist. Deshalb preschen sie im Vertrag von Prüm außerhalb des institutionellen Rahmens der EU nach vorne.
Das Europa der verschiedenen Geschwindigkeiten ist im Bereich Inneres und Justiz der EU eine lang geübte Praxis. Schon der Vertrag von Schengen wurde zuerst als völkerrechtlicher Vertrag einiger EU-Staaten abgeschlossen, bevor er zum "Acquis" – also zum Rechtsbestand der EU – erklärt wurde. Deutschland, Spanien, Frankreich, Luxemburg, Holland, Österreich und Belgien exerzieren dieses Verfahren – an sämtlichen EU-Institutionen formell vorbei – erneut beim im Mai 2005 unterzeichneten Vertrag von Prüm.
In diesem Vertrag verpflichten sich die Staaten, gegenseitigen Zugriff auf die nationalen DNA-Datenbanken, die Fingerabdrucksammlungen sowie die Kfz-Halter- und Fahrzeugregister zu ermöglichen. Weitere Kooperationen mit Personenbezug werden vereinbart, z. B. bei Großereignissen der Informationsaustausch einschließlich der Übermittlung von schwarzen Listen.
Hinsichtlich des Datenschutzes werden keine zeitgemäßen Standards und keine präzisen Vorgaben festgelegt. Vielmehr versichern sich die Vertragsstaaten per Unterschrift, dass die Voraussetzungen für die Wahrung des Schutzes personenbezogener Daten bestünden oder zumindest hergestellt würden. Dieses gegenseitige Vertrauen wird leider weder durch Kontrollen noch durch sonstige institutionelle Vorkehrungen abgesichert.
Was ist zu tun?
Der Vertrag von Prüm verfolgt ein berechtigtes Informationsanliegen der Strafverfolgungsbehörden. Die legitimen Datenschutzinteressen der Betroffenen kommen dabei aber zu kurz. Eine Unterzeichnung durch den deutschen Gesetzgeber darf erst erfolgen, nachdem diesbezüglich nachgebessert wurde.
11.4 Der Energieendverbraucher im Visier der Kommission
Energieversorgungsunternehmen wurden europaweit aufgefordert, die Daten von sämtlichen Dauerkunden an die Europäische Kommission zu melden. Sinn und Zweck dieser Aktion sind nicht erkennbar.
Die Europäische Union (EU) ist darauf erpicht, das Image des bürokratischen Molochs abzulegen und den Eindruck zu vermitteln, im Interesse der Bürgerinnen und Bürger zu handeln. Dieses Bestreben wird aber immer wieder durch EU-Institutionen selbst konterkariert. Ein kommunales Energieversorgungsunternehmen wandte sich Hilfe suchend an uns: Mit der Erklärung, es solle eine "Untersuchung des Elektrizitätssektors" erfolgen, wurde es von der Europäischen Kommission aufgefordert, innerhalb von einem Monat in einer elektronischen Datei sämtliche "langfristigen Lieferverträge" aufzulisten, die zum Stichtag 1. April 2005 bestanden. Dass es sich nicht um einen Aprilscherz handelte, war daran zu erkennen, dass im Fall der Weigerung Geldbußen in Höhe von 1 % des im vorausgegangenen Geschäftsjahres erzielten Gesamtumsatzes bzw. Zwangsgelder bis zu 5 % des Tagesumsatzes pro Tag Verzug angedroht wurden. Mitgeteilt werden sollten nicht nur die Angaben über Großverbraucher, sondern über sämtliche Endverbraucher bis hin zum Einpersonenhaushalt unter genauer Benennung von Namen, Adresse und Vertragsbedingungen. Die Kommission behielt sich ausdrücklich vor, "Dritten Einsicht in die Kommissionsakten einschließlich ihrer Unterlagen zu gewähren".
Die Kommission berief sich auf eine Verordnung, die tatsächlich derartige Berichtspflichten vorsieht. Dieser Verordnung ist aber nicht zu entnehmen, was der Zweck dieser personenbezogenen Mammuterhebung ist. Die Kommission scheint sich keine Gedanken zum Schutz personenbezogener Daten der Endverbraucher gemacht zu haben. Mit der Zusammenstellung sämtlicher Auskünfte der Energieunternehmen erhält die Kommission eine umfassende Datenbank über sämtliche Elektrizität abnehmenden Haushalte in der EU.
Umgehend baten wir den Europäischen Datenschutzbeauftragten, in dieser Angelegenheit tätig zu werden. Die Datenerhebung – egal für welchen Zweck – bewerteten wir als unverhältnismäßig, was wir auch dem Energieunternehmen mitteilten. Das Recht auf Datenschutz ist in der EU im Grundsatz ebenso gewährleistet wie in Deutschland. Angesichts der immensen Strafandrohung sahen wir uns aber daran gehindert, dem Energieunternehmen zu empfehlen, die geforderten Daten zu verweigern. Der Europäische Datenschutzbeauftragte teilte zwar im Grunde unsere Bedenken, doch auch nach mehr als einem halben Jahr konnte er weder uns noch dem Unternehmen eine abschließende rechtliche Bewertung zur Verfügung stellen.
Was ist zu tun?
So wichtig Markttransparenz für die Kommission sein mag: Hierbei dürfen die datenschutzrechtlichen Belange der EU-Bürgerinnen und -Bürger nicht unter den Tisch gewischt werden.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |