11 Europa und Internationales
Die internationale Dimension personenbezogener Datenverarbeitung macht es nötig, sich auf europäischer, bilateraler und globaler Ebene um den Schutz informationeller Selbstbestimmung der Bürgerinnen und Bürger Schleswig-Holsteins zu kümmern. Dabei geht es nicht nur, aber auch um die Verarbeitung im Internet (Tz. 2.4).
Im europäischen Rahmen besteht grundsätzlich Konsens über den Schutzbedarf personenbezogener Daten. Die Europäische Union (EU) engagiert sich nicht nur für die Förderung der Datenverarbeitung, sondern auch für den damit notwendigen Grundrechtsschutz – mit mehr oder weniger Erfolg. So bleibt der Datenschutz trotz eines umfangreichen Datenaustausches und ehrgeizigen Planungen im Bereich der polizeilichen und justiziellen Zusammenarbeit äußerst notleidend (Tz. 11.1). Nachholbedarf, aber mehr Hoffnung als im Bereich der dritten Säule besteht auch bei der Umsetzung der EU‑Dienstleistungsrichtlinie (Tz. 6.3). Positive Signale kommen von der EU-Kommission hinsichtlich der noch nicht abgeschlossenen Planungen zur Überarbeitung der Datenschutzrichtlinie für Telekommunikationsanbieter, der sogenannten ePrivacy-Richtlinie. Innovationsfördernd in Sachen Datenschutz ist die EU durch die Unterstützung von zukunftsweisenden Projekten, an denen das ULD beteiligt ist, so z. B. von PrivacyOS (Tz. 8.2), PrimeLife (Tz. 8.3), FIDIS (Tz. 8.4), PRISE (Tz. 8.6), Malta Twinning Light (Tz. 8.9), EUCoop (Tz. 8.10.2), RISERid (Tz. 8.11) und IM Enabled (Tz. 8.12). Die Förderung des Europäischen Gütesiegels durch EU-Gremien geht über die rein finanzielle Unterstützung hinaus; hier ist die EU Motor einer internationalen Entwicklung (Tz. 9.3).
Eine Besonderheit weist die Beziehung zu den Vereinigten Staaten von Amerika auf. In den USA gibt es bisher nur Ansätze für ein Datenschutzrecht, die unseren Anforderungen und Erwartungen nicht genügen. Dies hat direkte negative Auswirkungen auf die Menschen in Schleswig-Holstein, etwa bei Verleumdungsdiensten mit Sitz in den USA (Tz. 7.4). Aber auch der Diskurs mit seriösen Unternehmen wie Google, das ein umfangreiches Internetangebot über Europa und die Welt ausgießt, ist wegen des rudimentären Datenschutzes in den USA schwerfällig (Tz. 7.1 bis Tz. 7.3 und Tz. 10.5).
Große US-Unternehmen sind ebenso wie das ULD einbezogen in globale Bestrebungen zur Regulierung der personenbezogenen Datenverarbeitung. Das ULD wirkt im Rahmen seiner Projektarbeit an der Entwicklung internationaler Datenschutzstandards mit. Es stellt den Sekretär der Arbeitsgruppe 5 „Identity Management and Privacy Technologies“ des ISO/IEC JTC 1/SC 27. Schwerpunkt war insofern die Entwicklung und Kommentierung von Standards zu einem „Privacy Framework“, einer „Privacy Reference Architecture“ und eines „Identity Framework“. Zudem nahm das ULD an der Erarbeitung von Policystandards beim W3C, dem World Wide Web Consortium, teil und bringt seine Erfahrungen in den internationalen Diskurs ein, der von der nationalen spanischen Datenschutzbehörde zur Vorbereitung der kommenden Internationalen Datenschutzkonferenz koordiniert wird.
11.1 Datenschutz bei der polizeilichen und justiziellen Zusammenarbeit
Nach der lang erwarteten Verabschiedung des Rahmenbeschlusses für den Datenschutz bei der polizeilichen und justiziellen Zusammenarbeit ist ein einheitliches hohes Datenschutzniveau in der EU nicht in Sicht.
Der Rahmenbeschluss über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen, der sogenannten dritten Säule, verarbeitet werden, ist vom Rat der Europäischen Union (EU) verabschiedet worden. Ziel des Rahmenbeschlusses war die Herstellung eines gleichwertigen hohen Datenschutzniveaus innerhalb der EU im Bereich der dritten Säule. Innerhalb der ersten Säule, den europäischen Gemeinschaften, ist dieses Ziel erreicht. Die Datenschutzrichtlinie aus dem Jahr 1995 ist in allen Mitgliedstaaten umgesetzt.
Leider bleibt der verabschiedete Rahmenbeschluss weit hinter den Erwartungen und dem Erforderlichen zurück. Weder ein gleichwertiges noch ein hohes, ja nicht einmal ein angemessenes Datenschutzniveau wurde für die dritte Säule erreicht. Der Anwendungsbereich des Rahmenbeschlusses ist auf die reine grenzüberschreitende Kommunikation beschränkt geblieben. Die hierfür festgelegten Regelungen bleiben hinter dem nationalen, z. B. dem deutschen, und auch dem europäischen Datenschutzniveau aus der ersten Säule weit zurück (30. TB, Tz. 11.2).
Der Rahmenbeschluss findet nur auf diejenigen personenbezogenen Daten Anwendung, die zwischen den Mitgliedstaaten ausgetauscht werden. Für die rein innerstaatliche Datenverarbeitung gelten die Vorgaben des Rahmenbeschlusses – anders als die Datenschutzrichtlinie der ersten Säule – dagegen nicht. Es kann so nicht gewährleistet werden, dass die von anderen Mitgliedstaaten an deutsche Behörden übermittelten Daten in einer Weise erlangt und verarbeitet wurden, die einem Mindeststandard genügt. Dies ist nicht nur im Hinblick auf den Grundrechtsschutz der Betroffenen unbefriedigend, auch die Qualität der Daten ist nicht ausreichend gewährleistet. Außerdem wird ein erheblicher Mehraufwand bei der anschließenden Verarbeitung der zwischen den Mitgliedstaaten übermittelten Daten entstehen, da für die übermittelten Daten andere Anforderungen gelten als für die nationalen Daten, die der Empfänger ebenfalls verarbeitet.
Auch die inhaltlichen Vorgaben des Rahmenbeschlusses sind unzureichend; die letztjährige Kritik gilt weiterhin (30. TB, Tz. 11.2). Besonders defizitär ist das Recht der Betroffenen auf Auskunft geregelt. Das deutsche Recht räumt den Betroffenen grundsätzlich einen eigenen umfassenden Auskunftsanspruch über die zur Person bei einer Stelle gespeicherten Daten ein. Dies ist nach deutschem Verfassungsrecht geboten. Der Rahmenbeschluss dagegen reduziert den Anspruch des Betroffenen auf die Bestätigung der nationalen Kontrollstelle, dass alle erforderlichen Prüfungen durchgeführt wurden.
Von einem gleichwertigen hohen Datenschutzniveau sind Polizei und Justiz in Europa nach Verabschiedung des Rahmenbeschlusses weit entfernt. Ein solches Niveau ist aber seit Jahren überfällig, da ungeachtet der datenschutzrechtlichen Defizite der Informationsaustausch zwischen den Mitgliedstaaten und den Einrichtungen der EU wie Europol und Eurojust immer mehr ausgebaut wird. Es gibt Informationssysteme wie das Schengener Informationssystem und das Visa-Informationssystem, die ständig erweitert werden. Der durch den Prümer Vertrag ermöglichte Zugriff der Behörden der Vertragsstaaten auf DNA-, Fingerabdruck- und Kfz-Daten wird durch Überführung in den Rechtsrahmen der EU auf die anderen EU-Mitgliedstaaten ausgedehnt. Zu der Vielzahl der Maßnahmen hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder eine Entschließung gefasst:
Im Rahmenbeschluss zur sogenannten Schwedischen Initiative wird den Mitgliedstaaten sogar auferlegt, für die Übermittlung personenbezogener Daten an Stellen anderer Mitgliedstaaten und Einrichtungen der EU dieselben Maßstäbe anzulegen wie für die Übermittlung an nationale Stellen (Tz. 11.2). Nach geltendem Recht unterliegt die Datenübermittlung an Polizei- und Justizbehörden anderer Mitgliedstaaten oder der EU in Deutschland strengeren Voraussetzungen als die Übermittlung an deutsche Polizei- und Justizbehörden. Der Grund ist, dass ein Datenschutzniveau nach nationalem Recht im Empfängerstaat nicht sichergestellt ist. Eine solche Garantie ist nach Verabschiedung des Rahmenbeschlusses für den Datenschutz bei der polizeilichen und justiziellen Zusammenarbeit nicht in Sicht. Dennoch werden die Mitgliedstaaten gezwungen, die gesetzlichen Voraussetzungen für einen erleichterten innereuropäischen Datenaustausch zu schaffen.
Welche Konsequenzen das für die Betroffenen hat, wird am Beispiel des Auskunftsanspruchs deutlich: Übermittelt eine deutsche Polizei- oder Justizbehörde personenbezogene Daten an eine Stelle eines anderen Mitgliedstaates, so kann der Betroffene von der deutschen Stelle grundsätzlich Auskunft über die dort zu seiner Person gespeicherten Daten und auch über die Empfänger verlangen, an welche die Daten übermittelt wurden. Möchte er darüber hinaus erfahren, wie seine Daten vom Empfänger weiterverarbeitet wurden, dann richtet sich der Auskunftsanspruch nach dem Recht des Empfängerstaats. Der Rahmenbeschluss für den Datenschutz in der dritten Säule gewährleistet nicht, dass die Auskunftserteilung durch den Empfänger angemessenen Datenschutzstandards genügt.
Was ist zu tun?
Der Rahmenbeschluss für den Datenschutz bei der polizeilichen und justiziellen Zusammenarbeit bedarf hinsichtlich seines Anwendungsbereichs, der vorgesehenen Datenschutzstandards und der Datenschutzkontrolle einer massiven Verbesserung.
11.2 Innereuropäischer Datenaustausch à la „Schwedische Initiative “
Das Fehlen eines einheitlichen und angemessenen Datenschutzniveaus in Europa hindert den Rat der Europäischen Union nicht an der Intensivierung des personenbezogenen Informationsaustausches der Strafverfolgungsbehörden. Die fehlenden Datenschutzvorkehrungen müssen daher auf nationaler Ebene nachgerüstet werden.
Der Rat der Europäischen Union hat im Jahr 2006 einen Rahmenbeschluss zur Vereinfachung des Informationsaustausches zwischen den Strafverfolgungsbehörden der EU-Mitgliedstaaten verabschiedet – die „Schwedische Initiative“. Der Informationsaustausch soll dadurch erleichtert werden, dass für innereuropäische grenzüberschreitende Datenübermittlungen dieselben Voraussetzungen gelten sollen wie für solche innerhalb eines Mitgliedstaates. Die Umsetzung wird zu einem deutlichen quantitativen Anstieg und zur Beschleunigung des Informationsaustausches zwischen Polizeien und Justizbehörden in Europa führen. Da es nach Verabschiedung des Rahmenbeschlusses für den Datenschutz bei der polizeilichen und justiziellen Zusammenarbeit (Tz. 11.1) weiterhin kein einheitliches und angemessenes Datenschutzniveau in Europa gibt, sind die vorgesehenen Erleichterungen des Datenaustausches persönlichkeitsrechtlich hochgefährlich.
Der Rahmenbeschluss zur Vereinfachung des Informationsaustausches zwischen den europäischen Strafverfolgungsbehörden muss national umgesetzt werden. Die Frist hierfür ist mittlerweile verstrichen; dem ULD sind aber noch keine Entwürfe bekannt. Dabei sind die verbleibenden Spielräume zur normenklaren und verhältnismäßigen Gestaltung der Befugnisse zum Informationsaustausch zu nutzen. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat hierzu eine Entschließung gefasst. Die Voraussetzungen für die Übermittlung, also die Anforderungen an ein entsprechendes Ersuchen, den Umfang der zu übermittelnden Daten, die zuständigen Stellen und die weitere Verwendung der Daten sind zu regeln.
Was ist zu tun?
Die Gesetze zur Umsetzung des Rahmenbeschlusses müssen die europäischen Defizite zur Sicherung des Datenschutzes beim polizeilichen und justiziellen Austausch kompensieren.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |