• Home

  • Documents

  • Baecker Hornung EU-Richtlinie Fuer Die Datenverarbeitung Bei
6
BEITRAGE MATTHIAS BÄCKER / GERRIT HORNUNG EU-Richtlinie für die Datenver- arbeitung bei Polizei und Justiz in Europa Einfluss des Kommissionsentwurfs auf das nationale Strafprozess- und Polizeirecht Der am 25.1.2012 veröffentlichte Vorschlag der EU-Kom- mission für eine grundlegende Reform des europäischen Da- tenschutzrechts besteht aus zwei Teilen. Neben eine „Daten- schutz-Grundverordnung“ soll als zweites grundlegendes Re- gelungsinstrument eine Richtlinie für die Datenverarbeitung bei Polizei und Justiz treten, die nach dem Willen der Kommis- sion den Rahmenbeschluss 2008/977/JI ersetzen wird. Der Beitrag stellt den Richtlinienentwurf im Kontext des Gesamt- vorhabens vor und vertieft Fragen zum Anwendungsbereich, zu den Voraussetzungen der Datenverarbeitung, Benachrich- tigungspflichten und der Datenübermittlung in Drittstaaten. The proposal by the EU-Commission published on January 25, 2012 regarding a fundamental reform of the European da- ta protection law consists of two parts. In addition to a “data protection basic regulation”, a regulation for data processing by the police and justice shall be introduced as a second basic regulatory instrument, which – according to the Commission’s will – shall replace the framework resolution 2008/977/JI. This article introduces the draft regulation in the context of the entire plan and will detail individual aspects regarding area of application, the requirements for data processing, obligations to inform and transferring data to third party states. Anforderungen an Ermittlungsbefugnisse Benachrichtigungspflichten Datenübermittlung in Drittstaaten Anwendungsbereich Freier Datenverkehr I. Hintergrund Der Datenschutz im Bereich des Sicherheitsrechts (also die Da- tenverarbeitung durch Polizei und Justiz in der früheren „Dritten Säule“) ist in der EU bislang deutlich weniger reguliert als in den Bereichen der übrigen staatlichen Verwaltung und der Wirt- schaft. Während dort mit der Datenschutzrichtlinie 95/46/EG 1 1 RL 95/46/EG, ABl. EG Nr. L 281 v. 23.11.1995, S. 31. (im Folgenden: DS-RL) seit längerer Zeit ein einheitlicher Rah- men vorgegeben wird, erfolgte eine – teilweise – Konsolidie- rung für die Polizei- und Strafverfolgungsbehörden (Kriminalbe- hörden) erst mit dem Rahmenbeschluss 2008/977/JI, der aller- dings lediglich für den grenzüberschreitenden Datenverkehr gilt. 2 2 ABl. EU Nr. L 350/60 v. 30.12.2008. Der Reformvorschlag der Kommission sieht nunmehr für beide Bereiche wichtige Änderungen vor, die sich in beiden Fäl- len sowohl auf die materiellen Regelungen als auch auf das Re- gelungsinstrument beziehen. Während der Bereich der bisheri- gen Richtlinie durch eine „Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)“ 3 3 KOM(2012) 11 endg; dazu ausf. Hornung, ZD 2012, 99. (im Folgenden: DS-GVO-E) erfasst wird, soll eine „Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbe- zogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Da- tenverkehr“ 4 4 KOM(2012) 10 endg. (im Folgenden: RL-E; Artikelangaben ohne Be- zeichnung beziehen sich auf diese) den Rahmenbeschluss erset- zen und dabei erstmals auch rein innerstaatliche Datenverarbei- tungen regulieren. Die Gesamtstrategie – die sich nunmehr auf Art. 16 AEUV stützt 5 5 Zu den primärrechtlichen Änderungen im Bereich des Datenschutzrechts durch den Lissabon-Vertrag s. Spiecker gen. Döhmann/Eisenbarth, JZ 2011, 169. – wird in einer übergreifenden Mitteilung „Der Schutz der Privatsphäre in einer vernetzten Welt. Ein europäischer Da- tenschutzrahmen für das 21. Jahrhundert“ 6 6 KOM(2012) 9 endg. erläutert. Eine vor- läufige Fassung der drei Texte wurde im November 2011 be- kannt. 7 7 S. http://www.statewatch.org/eu-dp.htm; dazu Hornung, ZD 2012, 99 f. Gegenüber dieser erweitert die RL-E durchweg den Spielraum für Datenverarbeitungen der Kriminalbehörden, 8 8 Etwa bei den Verarbeitungsgrundsätzen in Art. 4, der Einschränkung der Infor- mationspflichten (Art. 23), der Ausweitung der Befugnisse zur Übermittlung in Drittstaaten (Art. 33 ff., v.a. Art. 35, 36), der Einschränkung der Befugnisse der Aufsichtsbehörden (Art. 46), der Beschränkung der Rechtsschutzmöglichkeiten so- wie der Streichung der gemeinsamen Aktionen der Aufsichtsbehörden (Art. 52 des Entwurfs) und der besonderen Regeln über genetische Daten (Art. 10 des Entwurfs, nunmehr in abgeschwächter Form noch in Art. 8). teils indem (problematisch) unbestimmte Formulierungen ge- wählt werden. 9 9 Z.B. „nicht exzessiv“ (Art. 4 lit. c), „so weit wie möglich“ (Art. 5 Abs. 1, Art. 6 Abs. 1), „alle vertretbaren Schritte“ (Art. 10 Abs. 1). Durch den Wechsel zum Instrument der Richtlinie erhält das Eu- ropäische Parlament erstmals eine Mitwirkungsmöglichkeit, während der bisherige Rahmenbeschluss durch (einstimmige) Entscheidung im Rat verabschiedet werden konnte. Ähnlich wie bei der DS-GVO-E wird durch die Richtlinie eine stärkere „Verge- meinschaftung“ als bisher erreicht, die RL-E lässt den Mitglied- staaten aber – teils ausdrücklich, teils implizit – deutlich mehr Regelungsspielräume. Zumindest an einigen Stellen handelt es sich deshalb nicht um eine Vollharmonisierung. II. Struktur und Inhalt im Überblick Der Entwurf gliedert sich in zehn Kapitel. Mit Ausnahme des Ka- pitels IX der DS-GVO-E (das sich mit der Datenverarbeitung in bestimmten Sondersituationen, v.a. in den Bereichen Journalis- mus, Beschäftigtendaten, Wissenschaft, Gesundheitsdaten und Religionsgemeinschaften beschäftigt) korrespondieren die Ka- pitel der beiden Instrumente miteinander. Das gilt auch für viele Regelungsinhalte. Die Allgemeinen Bestimmungen der RL-E (Kapitel I) beschrei- ben Gegenstand und Ziele (Art. 1, der wie die DS-GVO-E zwei in ZD 4/2012 Bäcker/Hornung: EU-Richtlinie für die Datenverarbeitung bei Polizei und Justiz in Europa 147

Baecker Hornung EU-Richtlinie Fuer Die Datenverarbeitung Bei

Embed Size (px)

DESCRIPTION

daten

Citation preview

  • BEITRAGEMATTHIAS BCKER / GERRIT HORNUNG

    EU-Richtlinie fr die Datenver-arbeitung bei Polizei und Justizin EuropaEinfluss des Kommissionsentwurfs auf das nationale Strafprozess- und Polizeirecht

    c Der am 25.1.2012 verffentlichte Vorschlag der EU-Kom-mission fr eine grundlegende Reform des europischen Da-tenschutzrechts besteht aus zwei Teilen. Neben eine Daten-schutz-Grundverordnung soll als zweites grundlegendes Re-gelungsinstrument eine Richtlinie fr die Datenverarbeitungbei Polizei und Justiz treten, die nach demWillen der Kommis-sion den Rahmenbeschluss 2008/977/JI ersetzen wird. DerBeitrag stellt den Richtlinienentwurf im Kontext des Gesamt-vorhabens vor und vertieft Fragen zum Anwendungsbereich,zu den Voraussetzungen der Datenverarbeitung, Benachrich-tigungspflichten und der Datenbermittlung in Drittstaaten.

    c The proposal by the EU-Commission published on January25, 2012 regarding a fundamental reform of the European da-ta protection law consists of two parts. In addition to a dataprotection basic regulation, a regulation for data processingby the police and justice shall be introduced as a second basicregulatory instrument, which according to the Commissionswill shall replace the framework resolution 2008/977/JI. Thisarticle introduces the draft regulation in the context of theentire plan and will detail individual aspects regarding area ofapplication, the requirements for data processing, obligationsto inform and transferring data to third party states.

    Anforderungen an ErmittlungsbefugnisseBenachrichtigungspflichtenDatenbermittlung in DrittstaatenAnwendungsbereichFreier Datenverkehr

    I. HintergrundDer Datenschutz im Bereich des Sicherheitsrechts (also die Da-tenverarbeitung durch Polizei und Justiz in der frheren DrittenSule) ist in der EU bislang deutlich weniger reguliert als in denBereichen der brigen staatlichen Verwaltung und der Wirt-schaft. Whrend dort mit der Datenschutzrichtlinie 95/46/EG1

    1 RL 95/46/EG, ABl. EG Nr. L 281 v. 23.11.1995, S. 31.

    (im Folgenden: DS-RL) seit lngerer Zeit ein einheitlicher Rah-men vorgegeben wird, erfolgte eine teilweise Konsolidie-rung fr die Polizei- und Strafverfolgungsbehrden (Kriminalbe-hrden) erst mit dem Rahmenbeschluss 2008/977/JI, der aller-dings lediglich fr den grenzberschreitenden Datenverkehrgilt.2

    2 ABl. EU Nr. L 350/60 v. 30.12.2008.

    Der Reformvorschlag der Kommission sieht nunmehr frbeide Bereiche wichtige nderungen vor, die sich in beiden Fl-len sowohl auf die materiellen Regelungen als auch auf das Re-gelungsinstrument beziehen. Whrend der Bereich der bisheri-gen Richtlinie durch eine Verordnung zum Schutz natrlicherPersonen bei der Verarbeitung personenbezogener Daten undzum freien Datenverkehr (Datenschutz-Grundverordnung)3

    3 KOM(2012) 11 endg; dazu ausf. Hornung, ZD 2012, 99.

    (im Folgenden: DS-GVO-E) erfasst wird, soll eine Richtlinie zumSchutz natrlicher Personen bei der Verarbeitung personenbe-zogener Daten durch die zustndigen Behrden zum Zwecke

    der Verhtung, Aufdeckung, Untersuchung oder Verfolgungvon Straftaten oder der Strafvollstreckung sowie zum freien Da-tenverkehr4

    4 KOM(2012) 10 endg.

    (im Folgenden: RL-E; Artikelangaben ohne Be-zeichnung beziehen sich auf diese) den Rahmenbeschluss erset-zen und dabei erstmals auch rein innerstaatliche Datenverarbei-tungen regulieren.

    Die Gesamtstrategie die sich nunmehr auf Art. 16 AEUVsttzt5

    5 Zu den primrrechtlichen nderungen im Bereich des Datenschutzrechts durchden Lissabon-Vertrag s. Spiecker gen. Dhmann/Eisenbarth, JZ 2011, 169.

    wird in einer bergreifenden Mitteilung Der Schutzder Privatsphre in einer vernetzten Welt. Ein europischer Da-tenschutzrahmen fr das 21. Jahrhundert6

    6 KOM(2012) 9 endg.

    erlutert. Eine vor-lufige Fassung der drei Texte wurde im November 2011 be-kannt.7

    7 S. http://www.statewatch.org/eu-dp.htm; dazu Hornung, ZD 2012, 99 f.

    Gegenber dieser erweitert die RL-E durchweg denSpielraum fr Datenverarbeitungen der Kriminalbehrden,8

    8 Etwa bei den Verarbeitungsgrundstzen in Art. 4, der Einschrnkung der Infor-mationspflichten (Art. 23), der Ausweitung der Befugnisse zur bermittlung inDrittstaaten (Art. 33 ff., v.a. Art. 35, 36), der Einschrnkung der Befugnisse derAufsichtsbehrden (Art. 46), der Beschrnkung der Rechtsschutzmglichkeiten so-wie der Streichung der gemeinsamen Aktionen der Aufsichtsbehrden (Art. 52 desEntwurfs) und der besonderen Regeln ber genetische Daten (Art. 10 des Entwurfs,nunmehr in abgeschwchter Form noch in Art. 8).

    teils indem (problematisch) unbestimmte Formulierungen ge-whlt werden.9

    9 Z.B. nicht exzessiv (Art. 4 lit. c), so weit wie mglich (Art. 5 Abs. 1, Art. 6Abs. 1), alle vertretbaren Schritte (Art. 10 Abs. 1).

    Durch denWechsel zum Instrument der Richtlinie erhlt das Eu-ropische Parlament erstmals eine Mitwirkungsmglichkeit,whrend der bisherige Rahmenbeschluss durch (einstimmige)Entscheidung im Rat verabschiedet werden konnte. hnlich wiebei der DS-GVO-Ewird durch die Richtlinie eine strkere Verge-meinschaftung als bisher erreicht, die RL-E lsst den Mitglied-staaten aber teils ausdrcklich, teils implizit deutlich mehrRegelungsspielrume. Zumindest an einigen Stellen handelt essich deshalb nicht um eine Vollharmonisierung.

    II. Struktur und Inhalt im berblickDer Entwurf gliedert sich in zehn Kapitel. Mit Ausnahme des Ka-pitels IX der DS-GVO-E (das sich mit der Datenverarbeitung inbestimmten Sondersituationen, v.a. in den Bereichen Journalis-mus, Beschftigtendaten,Wissenschaft, Gesundheitsdaten undReligionsgemeinschaften beschftigt) korrespondieren die Ka-pitel der beiden Instrumente miteinander. Das gilt auch fr vieleRegelungsinhalte.

    c Die Allgemeinen Bestimmungen der RL-E (Kapitel I) beschrei-ben Gegenstand und Ziele (Art. 1, der wie die DS-GVO-E zwei in

    ZD 4/2012 Bcker/Hornung: EU-Richtlinie fr die Datenverarbeitung bei Polizei und Justiz in Europa 147

  • Teilen konfligierende Ziele enthlt, nmlich Grundrechts- undDatenschutz einerseits, ungehinderten Datenverkehr anderer-seits), legen denAnwendungsbereich fest (Art. 2) und enthaltenBegriffsbestimmungen (Art. 3). Einige Definitionen wurden mitBlick auf die Zielrichtung der RL-E (Kriminalbehrden) angepasstbzw. gestrichen (v.a. Art. 4 Abs. 8, 13-17 DS-GVO-E). Kinderwerden wie in der DS-GVO-E definiert, anders als dort enthltdie RL-E aber keine besonderen Einschrnkungen oder Anforde-rungen an die Verarbeitung ihrer Daten.10

    10 Als einzige Rechtsfolge regelt Art. 45Abs. 2 Satz 2, dass die Aufsichtsbehrdenbei der Information der ffentlichkeit spezifischeManahmen fr Kinder besondersbeachten mssen.

    c Kapitel II enthlt die Grundstze der Datenverarbeitung,nmlich allgemeine Anforderungen (Art. 4), Anforderungen andie Rechtmigkeit (Art. 7), Einschrnkungen fr sensible Artenvon Daten (Art. 8) und fr auf Profiling und automatischer Da-tenverarbeitung basierende Manahmen (Art. 9, der nationaleBefugnistatbestnde bei entsprechenden Garantien zulsst; s.deutlich detaillierter Art. 20 DS-GVO-E). Whrend diese Rege-lungen Entsprechungen in der DS-GVO-E haben, fhrt die RL-Ezwei neuartige Unterscheidungen ein, nmlich die nach ver-schiedenen Kategorien betroffener Personen (Art. 5: Verdchti-ge, Straftter, Opfer, Zeugen und Kontaktpersonen, andere)und nach Richtigkeit und Zuverlssigkeit der Daten (Art. 6:Differenzierung zwischen Daten, die auf Fakten beruhen, undsolchen, die auf persnlichen Einschtzungen beruhen, s. bis-her Art. 8 Abs. 1 des Rahmenbeschlusses). Bemerkenswerter-weise knpft die RL-E an keiner Stelle direkte Rechtsfolgen andie Pflicht der Verantwortlichen, zwischen diesen Betroffenenund Datenkategorien zu unterscheiden; auch EG 23 schweigthierzu. Art. 16 bezieht sich nicht auf diese Vorschriften, sodassein Versto keinen Lschungsanspruch nach sich zieht. In Be-tracht kommt allerdings ein Recht auf Berichtigung (Art. 15),wenn eine betroffene Person einer falschen Kategorie zugeord-net wird. Im brigen handelt es sich um strukturelle Vorgabenfr die Datenverarbeitungsprozesse der Kriminalbehrden, dievon den Aufsichtsbehrden im Rahmen ihrer Befugnisse(Art. 46) berwacht werden knnen.c Wie die DS-GVO-E enthlt Kapitel III fr die Rechte der be-troffenen Personen zunchst Anforderungen an die Modalit-ten und generelle Pflichten der Verantwortlichen (Art. 10, ein-schlielich einer grundstzlichen Kostenfreiheit). Im Einzelnenregelt Art. 11 eine grundstzliche Informationspflicht bei Da-tenerhebungen. Art. 12 enthlt ein grundstzliches Auskunfts-recht des Betroffenen (Gegenstand: die Tatsache der Verarbei-tung, einzelne Daten und das Recht auf eine Kopie), das aller-dings von den Mitgliedstaaten in erheblichem Umfang einge-schrnkt werden kann (Art. 13). In diesem Fall knnen die Be-troffenen nach Art. 14 die Aufsichtsbehrde um Prfung ersu-chen. Hier mssen die Mitgliedstaaten eine in camera-Prfungeinrichten, an deren Ende nach Art. 14 Abs. 3 zumindest berdas Ergebnis zu informieren ist. Weiter ist ein Lschungsan-spruch vorgesehen, wobei in bestimmten Fllen eine Markie-rung der Daten an die Stelle der Lschung tritt (Art. 16). Art. 17enthlt schlielich die Befugnis, die Betroffenenrechte im einzel-staatlichen Strafprozessrecht zu regeln, sofern es um strafrecht-liche Ermittlungen oder Strafverfahren geht.c Kapitel IV betrifft die Pflichten des fr die Verarbeitung Verant-wortlichen und von Auftragsdatenverarbeitern. Die allgemeinenPflichten (Art. 18) sowie die Regeln zumDatenschutz durch Tech-nik (Art. 19, der diesen wichtigen Bereich wie Art. 23 DS-GVO-Esehr zurckhaltend angeht),11

    11 Dazu Hornung, ZD 2012, 99, 103.

    zur gemeinsamen Datenverarbei-tung mehrerer Verantwortlicher (Art. 20), zur Auftragsdatenver-arbeitung (Art. 21, 22), zur Dokumentation (Art. 23) sowie zurZusammenarbeit mit der Aufsichtsbehrde (Art. 25, 26, ein-schlielich einer Vorabkonsultation bei sensiblen Daten und be-sonderen Risiken) entsprechen in Zielrichtung und wesentlichenInhalten der DS-GVO-E. Gesondert geregelt wird die Aufzeich-nung von Vorgngen (Art. 24). Danach ist ber Erhebung, Vern-derung, Abfrage, Weitergabe, Kombination und Lschung von

    Daten Buch zu fhren. Im Rahmen dieser Protokollierung sindZweck, DatumundUhrzeit sowie soweit wiemglich die Iden-titt der verarbeitenden Person festzuhalten; Art. 24 Abs. 2 ent-hlt eine Zweckbindung der Protokolldaten. Demgegenber sinddie Vorschriften zur Datensicherheit (Art. 27-29, dabei werdendie Informationspflichten bei Datenpannen12

    12 Dazu Gabel, BB 2009, 2045; Eckhardt/Schmitz, DuD 2010, 390; Ernst, DuD2010, 472; Hanloser, MMR 2010, 300; Hornung, NJW 2010, 1841.

    begrenswer-terweise auch auf die Kriminalbehrden erstreckt) und zu inter-nen Datenschutzbeauftragten (Art. 30-32) wieder an die DS-GVO-E angelehnt. Dabei wird teilweise (dem Charakter als Richt-linie entsprechend) offener formuliert, teilweise allerdings auchdetaillierter (s. etwa den Manahmenkatalog in Art. 27 Abs. 2,der deutlich mit der Anlage zu 9 BDSG korrespondiert).13

    13 S. bisher Art. 22 des Rahmenbeschlusses.

    Of-fenbar hat die Kommission hier Regelungen aufgenommen, diesie im Anwendungsbereich der DS-GVO-E erst nachtrglich aufGrund ihrer Befugnis zum Erlass delegierter Rechtsakte erlassenwill.14

    14 Zur Rolle der Kommission in der DS-GVO-E s. Hornung, ZD 2012, 99, 105 f.

    Eine Regelung zur Datenschutz-Folgenabschtzung(Art. 33 DS-GVO-E; s. noch Art. 31 des Entwurfs vom November2011) fehlt in der RL-E ebenso wie Bestimmungen zum Einsatzzertifizierter Technologien (Art. 39 DS-GVO-E).c Kapitel V enthlt abschlieende (Art. 33) Regelungen zurbermittlung in Drittlnder und an internationale Organisatio-nen. Von diesen sind bermittlungen zwischen denMitgliedstaa-ten sowie an oder von Stellen der EU abzugrenzen. Letztere wer-den in der Systematik der RL-E nicht von bermittlungen zwi-schen verschiedenen Behrden eines einzelnen Mitgliedstaatsunterschieden, sodass sich die Zulssigkeit nach den allgemeinenVerarbeitungsgrundstzen der RL-E und den Bestimmungen ge-sonderter Rechtsakte richtet, die nachArt. 59 unberhrt bleiben.c Die detaillierten Bestimmungen ber Aufsichtsbehrden (Ka-pitel VI) entsprechen vielfach der DS-GVO-E, insbesondere dievllige Unabhngigkeit15

    15 S. bisher Art. 25 Abs. 1 des Rahmenbeschlusses.

    und das Recht auf angemessene Aus-stattung (Art. 40), Anforderungen an die Person (Art. 41) unddie Errichtung der Aufsichtsbehrde (Art. 42). Bei den Aufga-ben (Art. 45) besteht sogar praktisch Gleichlauf mit Art. 52 DS-GVO-E.16

    16 Hinzu tritt nach Art. 45 Abs. 1 lit. c die berprfung vonArt. 14, die es in dieserForm in der DS-GVO-E nicht gibt.

    Die Befugnisse (Art. 46) sind demgegenber deutlicheingeschrnkt (der Entwurf hatte hier mehr Regelungen aus derDS-GVO-E bernommen), beinhalten aber wirksame Einwir-kungsbefugnisse, die auch die Beschrnkung, Lschung oderVernichtung der Daten oder das vorlufige oder endgltige Ver-bot einer Verarbeitung umfassen. Dies entspricht Art. 25 desRahmenbeschlusses.c Kapitel VII enthlt Regeln zur Zusammenarbeit der Aufsichts-behrden (Art. 48) und Aufgaben des Europischen Daten-schutzausschusses (Art. 49, s. Art. 64 ff. DS-GVO-E). Ein Koh-renzverfahren wie in Art. 57 ff. DS-GVO-E fehlt; dementspre-chend ist auch die Rolle der Kommission deutlich schwcher alsdort.17

    17 Dazu Hornung, ZD 2012, 99, 105 f.

    In Kapitel VIII sind die Rechte auf Beschwerde bei der Auf-sichtsbehrde (Art. 50; einschlielich eines Verbandsklage-rechts auch unabhngig von individuellen Beschwerden),Rechtsbehelfe gegen diese (Art. 51, einschlielich der Verpflich-tung zum Ttigwerden, aber anders als in Art. 74 Abs. 4 DS-GVO-E ohne die Mglichkeit, die Aufsichtsbehrde des eigenenMitgliedstaats um Klage gegen die Behrde eines anderen Staa-tes zu ersuchen) sowie gegen die verantwortlichen Kriminalbe-hrden und Auftragsdatenverarbeiter geregelt (Art. 52; andersals nach Art. 75 Abs. 2 Satz 2 DS-GVO-E ist allerdings keine Kla-

    148 Bcker/Hornung: EU-Richtlinie fr die Datenverarbeitung bei Polizei und Justiz in Europa ZD 4/2012

  • ge im eigenenMitgliedstaat gegenVerantwortlichemglich, diein einem anderen Mitgliedstaat ansssig sind; anders noch derEntwurf). Haftung und Schadensersatz (Art. 54) entsprechender DS-GVO-E, whrend die Sanktionen fr Verste in Art. 55weithin der Regelungsbefugnis der Mitgliedstaaten berlassenwerden. Diese bestimmen somit beispielsweise, ob wie nachArt. 79 DS-GVO-E verwaltungsrechtliche Sanktionen auch ge-genber Behrden zulssig sind.18

    18 Dies war im Entwurf noch ausdrcklich geregelt.

    Kapitel IX enthlt die Regeln zu delegierten Rechtsakten undDurchfhrungsakten, die sich aber nur noch auf Art. 28 Abs. 5beziehen. Der Entwurf hatte hier noch deutlich mehr Bestim-mungen enthalten. In den Schlussbestimmungen (Kapitel X)werden der Rahmenbeschluss aufgehoben, das Verhltnis zuweiteren Rechtsakten bestimmt und eine Evaluationspflicht derKommission normiert.

    III. AnwendungsbereichGem. Art. 2 Abs. 1 gilt die RL-E fr die Datenverarbeitung durchdie zustndigen Behrden zu den in Art. 1 Abs. 1 genanntenZwecken. Der Begriff der Behrde ist sehr unglcklich ge-whlt,19

    19 Der Begriff authority in der englischen Fassung ist hingegen offener.

    weil die RL-E auchGerichte erfasst, soweit sie im Sicher-heitsbereich ttig sind. Dies stellt EG 55 ausdrcklich klar, und ei-nige der Normen beziehen sich sogar direkt auf die gerichtlicheDatenverarbeitung (z.B. Art. 11 Abs. 4 lit. a, Art. 13 Abs. 1 lit. a,Art. 17). Die nationalen Gerichte unterliegen also demmateriel-len Datenschutzrecht und sind nach Art. 44 Abs. 2 lediglich inihrer Stellung als Rechtsprechungsorgane von der Kontrolle derAufsichtsbehrden ausgenommen.20

    20 KOM(2012) 10 endg, 12; s. z.B. Klink, Datenschutz in der elektronischen Justiz,2010.

    Nach Art. 2 Abs. 2 ist erforderlich, dass es sich entweder umeine (teil-)automatisierte oder dateimige Verarbeitung han-delt. Erfasst sind zunchst Datenerhebungen mittels automati-sierter Ermittlungsmethoden (Telekommunikationsberwa-chung, Vorratsdatenspeicherung, Online-Durchsuchung, Video-berwachung, Kfz-Kennzeichenerfassung etc.). Daneben un-terfallen auch manuelle Manahmen dem Anwendungsbe-reich, wenn die gewonnenen Daten wie beispielsweise erken-nungsdienstliche Unterlagen automatisiert oder in einer Dateiverarbeitet werden sollen. Der Dateibegriff setzt dabei gem.Art. 3 Abs. 5 keine elektronische Verarbeitung voraus. Nach EG15 soll er dementsprechend auchAkten undAktensammlungenumfassen, wenn sie nach bestimmten Kriterien geordnetwerden knnen. Je nachdem,welche Anforderungen an ein sol-ches Ordnungskriterium gestellt werden, knnte es bereits aus-reichen, wenn eine Akte ein Aktenzeichen trgt und etwa nachdem Deliktstyp oder dem Namen des Betroffenen umsortiertwerden kann.21

    21 Vgl. zu 3 Abs. 2 Satz 2 BDSG Gola/Schomerus, BDSG, 3 Rdnr. 20.

    Jedenfalls drften mit der absehbaren flchen-deckenden Verbreitung elektronischer Vorgangsbearbeitungs-systeme in naher Zukunft so gut wie alle Datenverarbeitungender Kriminalbehrden in den Anwendungsbereich fallen. Sp-

    testens dannwren nur noch reinmanuelleManahmenwie et-wa eine Personenkontrolle ausgenommen, und auch dies nur,solange die erlangten Daten weder mit einer Datei (etwa demFahndungsbestand) abgeglichen noch gespeichert werden.

    Die Kommission nennt den begrenzten Anwendungsbereichdes Rahmenbeschlusses insbesondere die Ausklammerungder innerstaatlichen Datenverarbeitung der Kriminalbehrdenin Art. 1 Abs. 2 als einen wesentlichen Grund fr das Reform-vorhaben.22

    22 KOM (2012) 10 endg., 2.

    Dementsprechend klammert Art. 2 Abs. 3 lit. a le-diglich Ttigkeiten aus, die wie die nationale Sicherheit prinzipi-ell nicht in den Anwendungsbereich des Unionsrechts fallen.Was genau der Bereich der nationalen Sicherheit i.S.d. RL-E um-fasst, wird weder dort noch im einschlgigen EG 15 definiert.Neben dem Verteidigungsbereich wird man wohl auch die T-tigkeit der Inlands- und Auslandsgeheimdienste dazuzhlenmssen. Das wrde in Deutschland insbesondere die Datenver-arbeitungsregelungen im G 10, BNDG, MADG, BVerfSchG undden entsprechenden Gesetzen der Lnder betreffen.

    Die Ausnahme fr Organe, Einrichtungen, mter und Agentu-ren der Union in Art. 2 Abs. 3 lit. b ist regelungstechnisch ver-stndlich, da insoweit andere Rahmenbedingungen gelten. Esist allerdings kaum nachvollziehbar, dass die Kommission dieimmerhin mit demAnspruch eines europischen Datenschutz-rahmens fr das 21. Jahrhundert23

    23 KOM(2012) 9 endg.

    auftritt nicht zugleicheinen Vorschlag fr die Institutionen der Union vorgelegt hat.Insbesondere die Datenschutzregeln fr Europol sind in der Ver-gangenheit vielfach und zu Recht als ungengend kritisiert wor-den.24

    24 Nher Bhm, Information Sharing and Data Protection in the Area of Freedom,Security and Justice, 2011, S. 177 ff. (zu Europol), S. 214 ff. (Eurojust); s. zurRechtslage vor dem 1.1.2010 auch Matz, Europol Datenschutz und Individual-rechtsschutz im Hinblick auf die Anforderungen der EMRK, 2003; Beaucamp, DVBl.2007, 802; Hilger/Ruthig/Schenke/Wolter/Zller, Alternativentwurf Europol undeuropischer Datenschutz, 2008.

    Zumindest mittelfristig sind hier einheitliche Regeln frdie nationalen Kriminalbehrden einerseits und fr Europol undEurojust andererseits erforderlich.

    IV. Ausgewhlte Regelungsfelder1. Voraussetzungen einer DatenverarbeitungDie RL-E regelt zumindest weitgehend25

    25 Ob dieMitgliedstaaten die in Art. 7 lit. b bis d enthaltenen Erlaubnisgrnde zwin-gend aufgreifen mssen, geht aus der Norm nicht eindeutig hervor; jedenfalls sinddiese Erlaubnisgrnde ersichtlich nachrangig gg. Art. 7 lit. a, der ausdrcklich aufanderweitig geregelte gesetzliche Aufgaben der zustndigen Behrden verweist.

    nicht selbst, welche Da-tenverarbeitungen erlaubt sein sollen. Sie setzt vielmehr Erlaub-nisnormen im Unionsrecht und im Recht der Mitgliedstaatenvoraus. Fr mitgliedstaatliche Erlaubnistatbestnde enthlt dieRL-E dabei materielle Mindestanforderungen. Diese fallen aller-dings auf den ersten Blick ausgesprochenmager aus. Gerade andieser Stelle wurde nmlich die RL-E gegenber dem Entwurf er-heblich entschrft, der im November 2011 bekannt wurde.Strenge Anforderungen ergeben sich allerdings, wenn die ein-schlgigen Normen grundrechtlich aufgeladen werden.

    Der Entwurf vom November 2011 errichtete in Art. 4 und Art. 7noch hohe Anforderungen an das mitgliedstaatliche Recht: Erenthielt detaillierte Vorgaben fr den Inhalt vonNormen, die Da-tenverarbeitungen der Kriminalbehrden regeln. Hinzu kamenprozedurale Vorkehrungen fr Zugriffe der Kriminalbehrdenauf Datenbestnde, die nicht zu kriminalbehrdlichen Zweckenangelegt wurden. Schlielich war ein umfassendes Verwen-dungsverbot fr rechtswidrig verarbeitete Daten vorgesehen,das etwa die deutsche Dogmatik der strafprozessualen Beweis-verwertungsverbote26

    26 Hierzu im berblick Eisenberg, Beweisrecht der StPO, 7. Aufl. 2011,Rdnr. 356 ff., m.w.Nw.

    weitgehend obsolet gemacht und durcheine radikale fruit of the poisonous tree-Doktrin ersetzt htte.

    Hingegen enthlt die RL-E nur noch wenige Anforderungen anmitgliedstaatliche Datenverarbeitungen, die zudem recht vageformuliert sind. Immerhin ist die Einwilligung des Betroffenen imKatalog zulssiger Verarbeitungsgrnde in Art. 7 nicht aufge-fhrt und damit kein Rechtfertigungsgrund fr eine Datenverar-beitung der Kriminalbehrden. Die dahinter stehendeWertung,dass der Betroffene ber eine Einwilligung gegenber einer Si-cherheitsbehrde niemals autonom entscheiden wird, ent-spricht Art. 7 Abs. 4 DS-GVO-E. Diese Norm schliet die Einwilli-gung aus, wenn zwischen dem Betroffenen und dem Verant-

    ZD 4/2012 Bcker/Hornung: EU-Richtlinie fr die Datenverarbeitung bei Polizei und Justiz in Europa 149

  • wortlichen ein erhebliches Ungleichgewicht besteht. Praktischwre der Ausschluss der Einwilligung durchaus bedeutsam. Ins-besondere drfte eine Kriminalbehrde nicht den Betroffenenfragen, ob er bereit ist, eine Ermittlungsmanahme freiwilligzu dulden, deren gesetzliche Voraussetzungen nicht vorliegen(Sie haben doch nichts dagegen-Flle).

    Hingegen scheint die RL-E gesetzliche Verarbeitungsbefugnissefast vollstndig in das Belieben der Mitgliedstaaten zu stellen.Art. 4 beschrnkt sich nunmehr darauf, allgemeine Grundstzefr Datenverarbeitungen aufzustellen.27

    27 Die Norm stimmt weitgehend mit Art. 6 DS-RL berein, zum Gehalt dieser Re-gelung Albers, in: Hoffmann-Riem/Schmidt-Amann/Vokuhle, GVwR II, 22Rdnr. 49; s. nunmehr in angepasster Form Art. 5 DS-GVO-E.

    Art. 7 zhlt hingegendie zulssigen Typen von Erlaubnistatbestnden auf. Art. 7 lit. a,der in der Praxis absehbar im Vordergrund stehen wird, erlaubtgesetzliche Datenverarbeitungsregelungen bereits dann, wenndie Verarbeitung zu den Zwecken der Kriminalprvention oderStrafverfolgung erforderlich ist. Nhere inhaltliche Vorgaben ansolche Regelungen fehlen. Es drngt sich das Gefhl auf, dassseit dem ersten bekanntgewordenen Entwurf vom November2011 massiv interveniert wurde, um zu verhindern, dass den in-formationellen Befugnissen der Kriminalbehrden wirksameGrenzen gesetzt werden.

    Der Eindruck, die RL-E errichte keine echten Hrden fr solche Be-fugnisse, knnte jedoch trgen. Gehaltvollere Aussagen zu denunionsrechtlichen Grenzen fr mitgliedstaatliche Verarbeitungs-regelungen lassen sich treffen, wenn diese Regelungen und ihrVollzug an dem unionsrechtlichen Grundrecht auf Datenschutzaus Art. 8 GRCh zu messen sind. Dafr kommt es nach Art. 51Abs. 1 Satz 1GRChmageblich darauf an, ob dieMitgliedstaatenUnionsrecht durchfhren, wenn sie solche Verarbeitungsregelun-gen schaffen und anwenden. Hiergegen lsst sich zwar einwen-den, dass Art. 7 lit. a den Mitgliedstaaten lediglich ermglicht,ihren Kriminalbehrden bestimmte Datenverarbeitungen zu er-lauben, dies aber nicht gebietet. Auch errichtet die Norm demWortlaut nach nur rudimentre Anforderungen an die mitglied-staatlichen Erlaubnistatbestnde und belsst denMitgliedstaatendamit einen fast unbegrenzten Regelungsspielraum. Gleichwohlbewegen sich die Mitgliedstaaten auf Grund von Art. 7 im An-wendungsbereich des Unionsrechts, wenn sie von diesem Spiel-raum Gebrauch machen. Fr eine Anwendung von Art. 8 GRChspricht zudem, dass die Kompetenzregelung in Art. 16 AEUV, aufder die RL-E beruht, das Datenschutzgrundrecht ausdrcklichwiederholt. Es liegt in der Folge nahe, die Rechtsakte, die auf derGrundlage dieses Kompetenztitels ergehen, so auszulegen, dassdieses Grundrecht mglichst weitgehend zur Geltung kommt.28

    28 Eingehend zum Verhltnis von Art. 8 GRCh und Art. 16 AEUV J.-P. Schneider,Die Verwaltung 44 (2011), 499, 502 ff.

    Schlielich weist die Rechtsprechung des EuGH zum Anwen-dungsbereich der Unionsgrundrechte, wenngleich sie durchausnoch Fragen offen lsst, einen deutlichen expansiven Zug auf.29

    29 hnlich Ruffert, EuGRZ 2004, 466, 468: aktivistische Tendenz; Calliess, JZ2009, 113, 115: expansive Entwicklung.

    Insbesondere hat der Gerichtshof bereits angedeutet, dass dieMitgliedstaaten bei der Richtlinienumsetzung auch insoweit andie Unionsgrundrechte gebunden sind, als sie Regelungsspielru-me ausfllen, die eine Richtlinie ihnen belsst.30 30 Vgl. bereits vor Verbindlichkeit der GRCh EuGH, EuZW 2006, 566, 570 Parla-

    ment gegen Rat (Familienzusammenfhrung); eingehend Matz-Lck, in: dies./Hong, Grundrechte und Grundfreiheiten im Mehrebenensystem, 2012, S. 161,179 ff.

    Sind dieMitgliedstaaten an Art. 8 GRCh gebunden, wenn sie imAnwendungsbereich der RL-E kriminalbehrdliche Datenverar-beitungsbefugnisse schaffen, so bildet Art. 7 lit. a den Aus-gangspunkt fr eine umfassende Grundrechtsrechtsprechungdes EuGH zum Datenschutz gegenber Kriminalbehrden. Beider Konkretisierung von Art. 8 GRCh wre gem. Art. 52 Abs. 3GRCh der partiell gleichlufige Art. 8 EMRK heranzuziehen.31

    31 In diese Richtung dasUrteil EuGHMMR2011, 122 Schecke und Eifert, das sichallerdings kumulativ auf Art. 7 und Art. 8 GRCh sttzt; a.A. Kingreen, in: Calliess/Ruffert, EUV/AEUV, 4. Aufl. 2011, Art. 8 GRCh Rdnr. 5; J.-P. Schneider, Die Verwal-tung 44 (2011), 499, 501.

    Dabei knnte der EuGH auch an die Rechtsprechung des EGMRanknpfen,32

    32 Der Stellenwert der Rspr. des EGMR i.R.v. Art. 52 Abs. 3 GRCh ist noch weitge-hend ungeklrt, hierzu Jarass, GRCh, 2010, Art. 52 Rdnr. 65.

    der bereits zahlreiche Entscheidungen zu krimi-nalbehrdlichen berwachungsmanahmen getroffen hat.33

    33 Vgl. zu TK-berwachungen etwa EGMR, U. v. 6.9.1978 5029/71 Klass u.a.gegen Deutschland; U. v. 16.2.2000 27798/95 Amann gegen Schweiz; zu sons-tigen Ermittlungsmanahmen etwa U. v. 25.9.2001 44787/98 P.G und J.H. ge-gen Grobritannien heimliche Aufzeichnung des gesprochenen Worts; U. v.4.12.2008 30562/04 und 30566/04 S. undMarper v. Grobritannien Speiche-rung von DNA-Profilen und Fingerabdrcken; U. v. 2.9.2010 35623/05 Uzun v.Deutschland berwachung mittels eines GPS-Empfngers. Eingehend S. Schie-dermair, Der Schutz des Privaten als internationales Grundrecht, HabilitationsschriftMainz 2011, Teil 3, A. VI. 5) c) und 6) d).

    Da die Konventionsrechte zudem lediglich einen Mindeststan-dard errichten,34

    34 Nher Naumann, EuR 2008, 424, 430 ff.

    knnte der EuGH ber die konventionsrecht-lichen Anforderungen sogar noch hinausgehen. In der Folgeknnte der Gerichtshof zur zentralen Institution des Grund-rechtsschutzes im Sicherheitsrecht werden.

    2. Benachrichtigung des Betroffenen einerheimlichen DatenerhebungDas Recht des Betroffenen, davon zu erfahren, wer welche per-sonenbezogenen Daten ber ihn verarbeitet, ist das grundle-gende Datenschutzrecht, weil er ohne diese Kenntnis seine wei-teren Rechte praktisch nicht ausben kann und eine strukturelleUnkenntnis ber hoheitliche Datenverarbeitungen mit einemrechtsstaatlichen Gemeinwesen unvereinbar ist. Im Verhltniszu den Kriminalbehrden ist dieses Recht fr den Betroffenenbesonders bedeutsam. Denn diese Behrden sind in groemUmfang befugt, personenbezogene Daten ohne Mitwirkungoder Kenntnis des Betroffenen zu erheben. Der Betroffene istgrundstzlich darauf angewiesen, dass die zustndige Behrdeihn aktiv von heimlichen Datenerhebungen benachrichtigt, daer in der Regel keinen Anlass haben wird, sich aus eigener Initia-tive ber solche Datenerhebungen zu informieren.

    Art. 11 trgt dem Informationsinteresse des Betroffenen Rech-nung, indem die Mitgliedstaaten verpflichtet werden, Informa-tionspflichten bei offenen wie verdeckten Datenerhebungen zuschaffen. Dabei errichtet Art. 11 Abs. 1 detaillierte Anforderun-gen an den Inhalt der Information. Diese Anforderungen gehenber die bisherigen Benachrichtigungspflichten des deutschenRechts beispielsweise nach 101 Abs. 4 StPO oder 20wAbs. 1 BKAG deutlich hinaus.

    Hingegen enthlt Art. 11 Abs. 4 einen Ausnahmevorbehalt, derdie grundstzliche Benachrichtigungspflicht nach seinemWort-laut erheblich relativiert. Danach drfen die Mitgliedstaaten dieUnterrichtung des Betroffenen aus einer Vielzahl von Grndenhinauszgern, einschrnken oder unterbinden. Die Ausnahme-grnde sind zudem durchweg sehr offen formuliert. So ermg-licht Art. 11 Abs. 4 lit. b ein Absehen von der Benachrichtigungzur Gewhrleistung, dass die Verhtung, Aufdeckung, Unter-suchung oder Verfolgung von Straftaten nicht beeintrchtigtwird. Nach demWortlaut ist damit nicht erforderlich, dass es umdie Straftaten geht, die den Anlass der Datenerhebung gebildethaben. Es muss sich nicht einmal um Straftaten handeln, an de-nen der Betroffene beteiligt ist oder mit denen er sonst in ir-gendeiner Verbindung steht. Insbesondere bei Ermittlungen inkomplexen Strukturen der organisierten Kriminalitt oder desTerrorismus knnte auf dieser Grundlage die Benachrichti-gungspflicht weitgehend ausgehebelt werden. Solche Ermitt-lungen sollen vielfach ein fortlaufendes kriminelles Geschehenlngerfristig beobachten und analysieren, um die betroffenen

    150 Bcker/Hornung: EU-Richtlinie fr die Datenverarbeitung bei Polizei und Justiz in Europa ZD 4/2012

  • Strukturen mglichst umfassend zu zerschlagen.35

    35 Nher zu solchen operativen oder proaktiven ErmittlungskonzeptenWe-lau, Vorfeldermittlungen, 1989, S. 25 ff.; Albers, Die Determination polizeilicherTtigkeit in den Bereichen der Straftatenverhtung und der Verfolgungsvorsorge,2001, S. 108 ff.; Kinzig, Die rechtliche Bewltigung von Erscheinungsformen orga-nisierter Kriminalitt, 2004, S. 125 ff.

    Es wird sichnahezu stets begrnden lassen, dass eine Benachrichtigung die-ses operative Ziel gefhrdet. Auch die Ausnahmevorbehaltezur Gewhrleistung, dass behrdliche oder gerichtliche Ermitt-lungen, Untersuchungen oder Verfahren nicht behindert wer-den (Art. 11 Abs. 4 lit. a) und zum Schutz der ffentlichen Si-cherheit (Art. 11Abs. 4 lit. c) sind ausgesprochenweit gefasst.

    Weiter drfen dieMitgliedstaaten nach Art. 11 Abs. 5 Kategori-en von Datenverarbeitungen festlegen, auf welche die Ausnah-meregelung nach Abs. 4 ganz oder teilweise anzuwenden ist.Dies drfte so zu verstehen sein, dass fr bestimmte Datenverar-beitungsarten eine Information des Betroffenen abstrakt-gene-rell und damit ohne Rcksicht auf den Einzelfall ausgeschlossenwerden kann.

    Allerdings steht die Einschrnkung der Benachrichtigung nachArt. 11Abs. 4 unter demVorbehalt, dass sie verhltnismig ist.Die Anforderungen des Verhltnismigkeitsgrundsatzes sindwiederumauf der Grundlage der Unionsgrundrechte zu konkre-tisieren. Einschlgig ist auch insoweit Art. 8 GRCh. Hinzu trittmglicherweise die Rechtsschutzgarantie des Art. 47 GRCh.Dazu msste dieses Grundrecht analog zur Rechtsprechungdes BVerfG zu Art. 19 Abs. 4 GG36

    36 BVerfGE 100, 313, 361, 364; 109, 279, 363 f. = MMR 2004, 302; 118, 168,207 f.; 125, 260, 334 ff.

    Anforderungen an das be-hrdliche Verfahren errichten, um einen wirksamen gericht-lichen Rechtsschutz zu ermglichen.37

    37 Dafr Jarass (o. Fun. 32), Art. 47 Rdnr. 48.

    Wegen der zentralen Bedeutung der Benachrichtigung des Be-troffenen nach einer heimlichen Ermittlungsmanahme sind dieAusnahmetatbestnde des Art. 11 Abs. 4 daher restriktiv aus-zulegen. So wre es unverhltnismig, die Benachrichtigungber einen lngeren Zeitraum oder dauerhaft nur deshalb aus-zuschlieen, weil ansonsten bestimmte Informationsquellennicht mehr genutzt werden knnten38

    38 Vgl. zum deutschen Recht BVerfGE 109, 279, 366 f. = MMR 2004, 302; 113,348, 390 = MMR 2005, 674; anders jedoch BVerfG, B. v. 12.10.2011 2 BvR 236/08 u.a. = ZD 2012, 123, Rdnr. 234 ff.

    oder der Betroffene ir-gendwelche Rckschlsse auf Arbeitsweise und Erkenntnisinte-ressen der Behrde ziehen knnte. Vielmehr ist grundstzlich zufordern, dass das Benachrichtigungsinteresse des Betroffenenmit den Geheimhaltungsbelangen der Behrde auf Grund allerrelevanten Umstnde des Einzelfalls abgewogen wird.39

    39 Vgl. zum deutschen Recht BVerfGE 120, 351, 375 f. = MMR 2008, 450.

    In derFolge drfte Abs. 5, der denMitgliedstaaten ermglicht, die Be-nachrichtigung ohne solche Einzelfallabwgung auszuschlie-en, nur einen schmalen Anwendungsbereich haben.

    Fr das deutsche Recht relevant ist schlielich, dass Art. 11 eineAusnahme von der Benachrichtigung des Betroffenen nicht be-reits deshalb ermglicht, weil die Datenerhebung seine Belangenur geringfgig berhrt hat oder weil die Benachrichtigung auf-wndig wre. Der von beiden Senaten des BVerfG gebilligte40

    40 BVerfGE 125, 260, 337; BVerfG, B. v. 12.10.2011 2 BvR 236/08 u.a. = ZD2012, 123, Rdnr. 232.

    Ausschlusstatbestand in 101 Abs. 4 Satz 4 StPO, nach demDrittbetroffene bestimmter Ermittlungsmanahmen nicht zubenachrichtigen sind, wenn sie von der Manahme nur uner-heblich betroffen wurden und anzunehmen ist, dass sie kein In-teresse an einer Benachrichtigung haben, wre daher mit derRL-E nicht vereinbar.

    3. Datenbermittlungen in DrittlnderArt. 13 des Rahmenbeschlusses enthielt bislang lediglich eineRegelung fr die Weiterleitung in Drittstaaten, wenn die Sicher-heitsbehrden eines Mitgliedstaates personenbezogene Datenvon Behrden eines anderen Mitgliedstaates erhalten hatten.41

    41 Fr den Datenaustausch zwischen den Mitgliedstaaten s. ausf. Bhm (o.Fun. 24).

    Art. 33 ff. sind demgegenber bei jeder bermittlung in einDrittland zu beachten. Die Frage ist von besonderer Bedeutung,weil die so bermittelten Daten dort anderen typischerweiseweniger strengen Verarbeitungsregeln unterworfen sind undbeispielsweise bei Auslandsaufenthalten persnliche Nachteilemit sich bringen knnen.Grundvoraussetzung fr alle bermitt-lungen ist gem. Art. 33 lit. a, dass die bermittlung zur Verh-tung, Aufdeckung, Untersuchung oder Verfolgung von Strafta-ten oder zur Strafvollstreckung erforderlich ist. Hinzutretenmuss nach Art. 33 lit. b ein Erlaubnistatbestand, nmlich Ange-messenheitsbeschluss (Art. 34), geeignete Garantien (Art. 35)oder weitere Ausnahmetatbestnde (Art. 36).

    Angemessenheitsbeschlsse knnen entweder auf der Basisvon Art. 41 DS-GVO-E oder dann sektorspezifisch fr den Be-reich des Sicherheitsrechts nach Art. 34 Abs. 24 ergehen;Art. 34 Abs. 5 lsst auch die Feststellung des Fehlens eines an-gemessenen Schutzes zu. An die Stelle eines Angemessenheits-beschlusses knnen nachArt. 35Abs. 1 lit. a geeigneteGaran-tien treten, wenn diese in einem rechtsverbindlichen Instru-ment vorgesehen sind. Anders als in Art. 42 Abs. 2 DS-GVO-E42

    42 Dort wird insb. auf verbindliche unternehmensinterne Vorschriften, Standard-schutzklauseln und genehmigte Vertragsklauseln verwiesen.

    werden weder diese Instrumente noch rechtliche Anforderun-gen an sie definiert, sodass ihr Effekt im Vagen bleibt. Art. 35Abs. 2 lit. b lsst es sogar ausreichen, dass der Verantwortlichealle Umstnde beurteilt hat, die bei der bermittlung perso-nenbezogener Daten eine Rolle spielen, und zu der Auffassunggelangt ist, dass geeignete Garantien zum Schutz personenbe-zogener Daten bestehen. Dieses Vorgehen muss nach Art. 35Abs. 2 zwar dokumentiert und die Dokumentation der Auf-sichtsbehrde zur Verfgung gestellt werden. Eine normative Si-cherung ist damit aber kaum noch verbunden: Ein rechtsver-bindliches Instrument wird nicht verlangt, und die Garantienmssen berdies nach demWortlaut von lit. b nur in der ex ante-Perspektive der handelnden Personen bestehen.

    Art. 36 ist schlielich mit Ausnahmen betitelt, enthlt der Sa-che nach aber Vorschriften fr die gesamte Ttigkeit der Sicher-heitsbehrden. Allein Art. 36 lit. d lsst alle brigen bermitt-lungsvorschriften von Kapitel V berflssig werden. Danach solles als Ausnahme mglich sein, Daten in ein Drittland oder aneine internationale Organisation zu bermitteln, wenn dies zurVerhtung, Aufdeckung, Untersuchung oder Verfolgung vonStraftaten oder zur Strafverfolgung erforderlich ist. Dies ist je-doch bereits nach dem wortgleichen Art. 33 lit. a erforderlich,sodass Art. 33 lit. a und lit. b (ber Art. 36 lit. d) denselben nor-mativen Inhalt haben. Die brigen Regelungen des Kapitels sinddaneben regelungstechnisch berflssig und rechtsstaatlichschdlich, da sie vorgeben, ein Sicherungsmittel zu sein, das defacto nicht besteht. Der Schutzstandard bleibt damit letztlich so-gar noch hinter der aktuellen Rechtslage zurck, da Art. 13Abs. 3 lit. a des Rahmenbeschlusses eine Datenbermittlungohne entsprechende Garantien des Drittstaats nur wegenberwiegender berechtigter Interessen, insbesondere wichti-ger ffentlicher Interessen zulsst.

    Im Ergebnis verzichtet die RL-E damit auf echtematerielle Anfor-derungen an die datenschutzrechtlichen Regelungen in denDrittlndern, an die die Sicherheitsbehrden personenbezoge-ne Daten bermitteln. Dies sollte durch eine Beschrnkung derAusnahmeregelungen in Art. 36 gendert werden. AuchArt. 35 sollte deutlich restriktiver gefasst werden, um denSchutz des Betroffenen nicht weitgehend in das Belieben derbermittelnden Behrde zu stellen.

    ZD 4/2012 Bcker/Hornung: EU-Richtlinie fr die Datenverarbeitung bei Polizei und Justiz in Europa 151

  • V. Ausblick: Zukunft desGrundrechtsschutzes im SicherheitsrechtInsgesamt enthlt die RL-E neben einer Vielzahl von Verbesse-rungen und Przisierungen fr den Datenschutz im Sicherheits-recht auch eine Reihe offener Fragen, insbesondere im Bereichder bermittlungsvorschriften. Die grundlegenden materiell-rechtlichen Vorgaben der RL-E sind berwiegend bereits imdeutschen Recht enthalten, sodass sich bei der Verabschiedungdes Entwurfs zwar in Teilbereichen, nicht aber grundstzlich einAnpassungsbedarf ergeben wrde.

    Mittelfristig ergibt sich das grte Vernderungspotenzial frdie Bundesrepublik ausgerechnet imHinblick auf Fragen, die aufden ersten Blick in der RL-E gar nicht geregelt sind. Diese knntedas Sicherheitsrecht derMitgliedstaaten nmlich vor allem dannerheblich beeinflussen, wenn sie dazu fhrt, dass mitgliedstaat-liche Normen an den Unionsgrundrechten zu messen sind. AufGrund der bisherigen Rechtsprechung des EuGH zum Anwen-dungsbereich der Unionsgrundrechte43

    43 S.o. IV.1.

    erscheint wahrschein-lich, dass der EuGH eine solche Grundrechtsbindung imAnwen-dungsbereich der RL-E bejahen wird. Damit wrden die Unions-grundrechte in weitem Umfang einen besonders sensiblen Re-gelungsbereich erfassen, der als Lackmustest fr die rechtsstaat-liche Schlagkraft einer Grundrechtsordnung dienen kann. Diesknnte weitreichende inhaltliche und vor allem institutionelleKonsequenzen haben.

    Inhaltlich steht zwar nicht zu erwarten, dass der Schutz derUnionsgrundrechte flchendeckend ber die Grundrechte desGrundgesetzes hinausginge. Denn zumindest der Erste Senatdes BVerfG hat in jngerer Zeit bereits hohe Anforderungen ankriminalbehrdliche Datenverarbeitungsbefugnisse errichtet.44

    44 Vgl. etwa BVerfGE 107, 299; 109, 279; 110, 33; 113, 348; 115, 320; 120, 378;125, 260.

    Hingegen knnten sich aus den Unionsgrundrechten durchauseinzelne Anforderungen ergeben, die den Schutzstandard desGrundgesetzes berschreiten. So hat der EuGH aus Art. 8 GRCheine Pflicht der Gesetzgebungsorgane der EU hergeleitet, dieGrundrechte der Betroffenen im Gesetzgebungsverfahren um-fassend gegen die kollidierenden ffentlichen Belange abzuw-gen.45

    45 EuGHMMR 2011, 122 Schecke und Eifert; hnliche Interpretationen des Ur-teils bei Brink/Wolff, JZ 2011, 206, 207; Guckelberger, EuZW 2011, 126, 130;J.-P. Schneider, Die Verwaltung 44 (2011), 499, 515.

    Vergleichbare Bercksichtigungspflichten und Abw-gungslasten des Gesetzgebers finden sich in der sicherheits-rechtlichen Rechtsprechung des BVerfG nicht.46

    46 Vgl. hingegen zu ffentlich-rechtlichen Leistungsansprchen die dichten pro-zeduralen Vorgaben in BVerfGE 125, 175, 226 Hartz IV; BVerfG, U. v. 14.2.2012 2 BvL 4/10, Rdnr. 163 ff. Professorenbesoldung.

    Das Gerichtprft allein, ob das Gesetz als Ergebnis des Gesetzgebungsver-fahrens materiell grundrechtskonform ist.

    Fr die Bundesrepublik besonders bedeutsam erscheinen dieabsehbaren institutionellen Auswirkungen, wenn Datenverar-beitungsregelungen im deutschen Sicherheitsrecht an denUnionsgrundrechten zu messen wren. Diese Auswirkungenbetrfen zum einen das Verhltnis von BVerfG und Fachgerich-ten, zum anderen die Stellung des EuGH imGefge des europi-schen Grundrechtsschutzes.

    Jedes deutsche Gericht knnte und msste in der Folge einestreitentscheidende Befugnisregelung unangewandt lassen,wenn sie ein Unionsgrundrecht verletzt. Das Verwerfungsmo-nopol des BVerfG aus Art. 100 Abs. 1 GG bliebe danach zwarrechtlich bestehen, wrde aber faktisch deutlich relativiert.Unionsrechtlich wren die deutschen Gerichte hingegen nichtzwingend verpflichtet, den EuGH zu befassen, bevor sie einedeutsche Norm unangewandt lassen. Unterinstanzliche Gerich-te mssten dies nie, und selbst fr letztinstanzlich entscheiden-de Gerichte bestnde eine Vorlagepflicht nach Art. 267 Abs. 3AEUV nur, wenn die magebliche Grundrechtsfrage noch nichtgeklrt ist und sich auch nicht eindeutig beantworten lsst.47

    47 St. Rspr. seit EuGH, Slg. 1984, 1257 CILFIT.

    Zumindest htte dasGericht in der Regel dieWahl, ob es ein Vor-abentscheidungsersuchen an den EuGH oder eine Gltigkeits-vorlage an das BVerfG richtet.48

    48 So fr Art. 100 Abs. 1 GG BVerfGE 116, 202, 214 f.

    In dieser Situation erschiene es

    aus fachgerichtlicher Perspektive angesichts der sehr restriktivenRechtsprechung des BVerfG und der sehr grozgigen Recht-sprechung des EuGH zur Zulssigkeit von Richtervorlagen49

    49 Vgl. einerseits Schlaich/Korioth, Das Bundesverfassungsgericht, 8. Aufl. 2010,Rdnr. 145 ff., andererseits Wegener, in: Calliess/Ruffert (o. Fun. 31), Art. 267AEUV Rdnr. 21 ff., beide m.w.Nw.

    durchaus attraktiv, zunchst den Weg ber Art. 267 AEUV ein-zuschlagen.

    Insgesamt wertet die RL-E den EuGH institutionell erheblich auf.DerGerichtshofwrde anders als die nationalen Verfassungsge-richte grundrechtliche Schutzgehalte fr die ganze oder jeden-falls fr den grten Teil der EU50

    50 Vgl. zur Geltung bzw. Bindungswirkung der RL-E fr Dnemark, Irland und dasVereinigte Knigreich EG 75 f.; zur Geltung der Unionsgrundrechte fr Polen unddas Vereinigte Knigreich das Protokoll ber die Anwendung der Charta der Grund-rechte der Europischen Union auf Polen und das Vereinigte Knigreich v.31.12.2007, ABl. Nr. C 306, S. 154.

    festlegen. In der Folge drftenBedeutung und faktischer Entscheidungsspielraum der nationa-len Verfassungsgerichte in diesem zentralen Grundrechtsbe-reich deutlich schrumpfen. Zwar blieben die nationalen Grund-rechte anwendbar, soweit die RL-E keine zwingenden Vorgabenmacht.51

    51 So jedenfalls die st. Rspr. des BVerfG: BVerfGE 118, 79, 95 ff.; 125, 260, 306 f.;BVerfG NJW 2011, 3428, 3432 m. Anm. Ritter.

    Eine schlagkrftige Grundrechtsjudikatur des EuGHwrde aber mittelfristig die Frage aufwerfen, welchen Sinn einemehrfache Kontrolle des nationalen Sicherheitsrechts anhandunterschiedlicher Grundrechtskataloge ergibt. Zur Auslegungder Unionsgrundrechte msste der Gerichtshof weiter zwar dieEMRK und wohl auch die Rechtsprechung des EGMR heranzie-hen. Wie eng der EuGH nach Art. 52 Abs. 3 GRCh letztlich andie Konvention gebunden ist, ist aber bislang wenig geklrt.52

    52 Nher Kingreen (o. Fun. 31), Art. 52 GRCh Rdnr. 31 ff., m.w.Nw.

    Jedenfalls wrde der EuGH regelmig vor dem EGMR befasstund knnte so die Initiative ergreifen. Zudem verfgt der EuGHanders als der EGMR wegen des Anwendungsvorrangs desUnionsrechts ber quasi-kassatorische Befugnisse. Der Ge-richtshof knnte so die Schlagkraft der Konvention mittelbar er-hhen, ihre unmittelbare Bedeutung jedoch zugleich vermin-dern.

    Die RL-E installiert damit den EuGH alsmageblichenAkteur desGrundrechtsschutzes im Sicherheitsrecht. Ob der EuGH, solltedie Richtlinie in Kraft treten, diese Rolle tatschlich offensiv aus-fllt, drfte allerdings auch davon abhngen, ob er sich zutraut,die damit verbundene Arbeitslast zu bewltigen.

    Prof. Dr. Matthias Bckerist Juniorprofessor fr ffentliches Recht an der Universi-tt Mannheim.

    Prof. Dr. Gerrit Hornung, LL.M.ist Inhaber des Lehrstuhls fr ffentliches Recht, IT-Rechtund Rechtsinformatik an der Universitt Passau, der auchin das Institute of IT-Security and Security Law (ISL) derUniversitt eingebunden ist.

    152 Bcker/Hornung: EU-Richtlinie fr die Datenverarbeitung bei Polizei und Justiz in Europa ZD 4/2012


ODZ | Organisation Datenverarbeitung Zweidler

ODZ | Organisation Datenverarbeitung Zweidler

Documents
Processing2010 Cultural Hacking - mms.uni-hamburg.de · , gr. System Die folgende Begriffsdefinition von Dirk Baecker mag als Einleitung für das Projekt »Processing2010« dienen

Processing2010 Cultural Hacking - mms.uni-hamburg.de · , gr. System Die folgende Begriffsdefinition von Dirk Baecker mag als Einleitung für das Projekt »Processing2010« dienen

Documents
Prolog und Einführung - gdv.informatik.uni-frankfurt.de · Prof. Dr.-Ing. Detlef Krömker Goethe-Universität, Frankfurt Graphische Datenverarbeitung Graphische Datenverarbeitung

Prolog und Einführung - gdv.informatik.uni-frankfurt.de · Prof. Dr.-Ing. Detlef Krömker Goethe-Universität, Frankfurt Graphische Datenverarbeitung Graphische Datenverarbeitung

Documents
Jahresbericht 2001 1 - dik.tu-darmstadt.de · DiK Jahresbericht 2001 Fachgebiet Datenverarbeitung in der Konstruktion Seite 3 Fachgebiet Datenverarbeitung in der Konstruktion (DiK)

Jahresbericht 2001 1 - dik.tu-darmstadt.de · DiK Jahresbericht 2001 Fachgebiet Datenverarbeitung in der Konstruktion Seite 3 Fachgebiet Datenverarbeitung in der Konstruktion (DiK)

Documents
Dirk Baecker, Matthias Kettner, Dirk Rustemeyer (Hg.) · INHALT Vorwort 7 DIRK BAECKER,MATTHIAS KETTNER,DIRK RUSTEMEYER I. Kulturbegriffe Kulturreflexion und die Grammatik kultureller

Dirk Baecker, Matthias Kettner, Dirk Rustemeyer (Hg.) · INHALT Vorwort 7 DIRK BAECKER,MATTHIAS KETTNER,DIRK RUSTEMEYER I. Kulturbegriffe Kulturreflexion und die Grammatik kultureller

Documents
Datenverarbeitung MS-Access Dozent: Gerhard Fleige BMM Datenverarbeitung Die nachfolgenden Folien sind die schönsten aus der Vorlesung. Ich empfehle Ihnen,

Datenverarbeitung MS-Access Dozent: Gerhard Fleige BMM Datenverarbeitung Die nachfolgenden Folien sind die schönsten aus der Vorlesung. Ich empfehle Ihnen,

Documents
7 OCTOBER 2002 - circabc.europa.eu file3 Landesamt für Datenverarbeitung und Statistik Nordrhein-Westfalen - Statistik-Online - Statistik-Online Landesamt für Datenverarbeitung und

7 OCTOBER 2002 - circabc.europa.eu file3 Landesamt für Datenverarbeitung und Statistik Nordrhein-Westfalen - Statistik-Online - Statistik-Online Landesamt für Datenverarbeitung und

Documents
Parallele Datenverarbeitung Pig, Hive & SystemT/JAQL · 3-39 Parallele Datenverarbeitung Meist Verarbeitung von großen Datenmengen Voraussetzung ist die Datenunabhängigkeit in den

Parallele Datenverarbeitung Pig, Hive & SystemT/JAQL · 3-39 Parallele Datenverarbeitung Meist Verarbeitung von großen Datenmengen Voraussetzung ist die Datenunabhängigkeit in den

Documents
Joachim Hornung: „DOARAM, der Seher“ …+der+… · Joachim Hornung: „DOARAM, der Seher“ H00227c 1(85) Doaram, der Seher Hier erzähle ich die Geschichte von meinen Reisen

Joachim Hornung: „DOARAM, der Seher“ …+der+… · Joachim Hornung: „DOARAM, der Seher“ H00227c 1(85) Doaram, der Seher Hier erzähle ich die Geschichte von meinen Reisen

Documents
Kontrolle und Revision bei automatischer Datenverarbeitung

Kontrolle und Revision bei automatischer Datenverarbeitung

Documents
Klaus Hornung George F. Kennan und die Kurskorrektur der

Klaus Hornung George F. Kennan und die Kurskorrektur der

Documents
Gimp - NEWBOOKS Services · Georg Hornung GIMP 2.8 Praxisbuch mit Übungen und Video-Tutorials Außerdem bei mitp: Über den Autor: Georg Hornung lebt und arbeitet freiberuflich

Gimp - NEWBOOKS Services · Georg Hornung GIMP 2.8 Praxisbuch mit Übungen und Video-Tutorials Außerdem bei mitp: Über den Autor: Georg Hornung lebt und arbeitet freiberuflich

Documents
Graphische Datenverarbeitung - TU Dresden · PDF fileKomplexpraktikum. Graphische Datenverarbeitung „Project 8view“ Sommersemester 2009 . Realisierung einer Visualisierungs - und

Graphische Datenverarbeitung - TU Dresden · PDF fileKomplexpraktikum. Graphische Datenverarbeitung „Project 8view“ Sommersemester 2009 . Realisierung einer Visualisierungs - und

Documents
Grafische Datenverarbeitung und Visualisierung Dynamic Queries - Steuerelemente

Grafische Datenverarbeitung und Visualisierung Dynamic Queries - Steuerelemente

Documents
Gimp - mediendb.hjr-verlag.de · Georg Hornung GIMP 2.8 Praxisbuch mit Übungen und Video-Tutorials Außerdem bei mitp: Über den Autor: Georg Hornung lebt und arbeitet freiberuflich

Gimp - mediendb.hjr-verlag.de · Georg Hornung GIMP 2.8 Praxisbuch mit Übungen und Video-Tutorials Außerdem bei mitp: Über den Autor: Georg Hornung lebt und arbeitet freiberuflich

Documents
Fachgebiet Datenverarbeitung in der Konstruktion (DiK)...DiK Jahresbericht 2004 Fachgebiet Datenverarbeitung in der Konstruktion Seite 7 LEHRANGEBOT IM GRUNDSTUDIUM Das Lehrangebot

Fachgebiet Datenverarbeitung in der Konstruktion (DiK)...DiK Jahresbericht 2004 Fachgebiet Datenverarbeitung in der Konstruktion Seite 7 LEHRANGEBOT IM GRUNDSTUDIUM Das Lehrangebot

Documents
Informatik, Datenverarbeitung 2 - akabuch.de

Informatik, Datenverarbeitung 2 - akabuch.de

Documents
Grafische Datenverarbeitung Sommersemester 2008 Wii Tetris

Grafische Datenverarbeitung Sommersemester 2008 Wii Tetris

Documents
© Prof. Dr. H. Gläser, Graphische Datenverarbeitung Willkommen zu Vorlesung+Praktikum Graphische Datenverarbeitung Einführung

© Prof. Dr. H. Gläser, Graphische Datenverarbeitung Willkommen zu Vorlesung+Praktikum Graphische Datenverarbeitung Einführung

Documents
Wien Baecker-Borsten und Tierhaare - Findbuch...Wien Baecker-Borsten und Tierhaare - Findbuch ... v

Wien Baecker-Borsten und Tierhaare - Findbuch...Wien Baecker-Borsten und Tierhaare - Findbuch ... v

Documents
Berufliche Schulen des Landes Hessen · Berufliches Gymnasium, Fachrichtung Wirtschaft Fach Datenverarbeitung Teil A Grundlegung für das Fach Datenverarbeitung 1 Aufgaben und Ziele

Berufliche Schulen des Landes Hessen · Berufliches Gymnasium, Fachrichtung Wirtschaft Fach Datenverarbeitung Teil A Grundlegung für das Fach Datenverarbeitung 1 Aufgaben und Ziele

Documents
Graphische Datenverarbeitung III

Graphische Datenverarbeitung III

Documents
Datenschutz an Schulen in NRW...Datenschutz und Datensicherheit 6 3. Datenverarbeitung 7 4. Personenbezogene Daten 8 5. Prinzipien rechtskonformer Datenverarbeitung 10 6. Sicherheit

Datenschutz an Schulen in NRW...Datenschutz und Datensicherheit 6 3. Datenverarbeitung 7 4. Personenbezogene Daten 8 5. Prinzipien rechtskonformer Datenverarbeitung 10 6. Sicherheit

Documents
Parallele Datenverarbeitung Pig, Hive & SystemT/JAQL

Parallele Datenverarbeitung Pig, Hive & SystemT/JAQL

Documents
Dirk Baecker: Die Dekonstruktion Der Schachtel (1990)

Dirk Baecker: Die Dekonstruktion Der Schachtel (1990)

Documents
Mathematische Methoden der graphischen Datenverarbeitung

Mathematische Methoden der graphischen Datenverarbeitung

Documents
Kandidaturschreiben Lukas Hornung

Kandidaturschreiben Lukas Hornung

Documents
Dordt-ThomallaIHK Reutlingen1 Datenverarbeitung, Informations- und Kommunikationstechniken Grundlagen der Datenverarbeitung (12.09.07) (14.11.07) Betriebssysteme

Dordt-ThomallaIHK Reutlingen1 Datenverarbeitung, Informations- und Kommunikationstechniken Grundlagen der Datenverarbeitung (12.09.07) (14.11.07) Betriebssysteme

Documents
„ Meine“ Graphische Datenverarbeitung

„ Meine“ Graphische Datenverarbeitung

Documents
„Psychose-Sucht“ Fordern, Fördern, Begleiten Sybille Hornung-Knobel

„Psychose-Sucht“ Fordern, Fördern, Begleiten Sybille Hornung-Knobel

Documents