1 Europäische Datenschutzreform

Die Europäische Kommission hat eine allgemeine Verordnung über den Datenschutz und eine spezielle Richtlinie zur Daten-verarbeitung bei Polizei und Justiz vorgeschlagen.1 Die Daten-schutz-Grundverordnung2 soll einen einheitlichen Rechtsrah-men für Datenschutz und Datenverkehr festlegen. Während die Verordnung eine Fortschreibung der Datenschutz-Richtlinie 1995/46/EG vornehmen will und das allgemeine Datenschutz-recht betrifft, soll eine Richtlinie für den Bereich Justiz und Po-lizei den geltenden Rahmenbeschluss 2008/977/JI weiter entwi-ckeln.3 Dieser erging aufgrund der Rechtslage vor dem Inkraft-treten des Vertrages von Lissabon und ist in Deutschland noch nicht vollständig umgesetzt.

Die Datenschutzgrundverordnung wird voraussichtlich frü-hestens Ende 2014 in Kraft treten. Gleiches gilt für die Richtli-nie, wobei noch die Umsetzungsfrist zu beachten ist, welche nach dem Entwurf zwei Jahre beträgt. Mit innerstaatlichen Regelungen wäre gemäß diesem Zeitplan im Jahr 2016 zu rechnen.

Die „Richtlinie zum Schutz natürlicher Personen bei der Verar-beitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Ver-folgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr“4 ist von der Konzeption geprägt, einheitliche Daten-schutzgrundsätze zu etablieren. Diese werden bereichsspezifisch auf

1 Schaar, DuD 2012, 154; zur VO Hornung ZO 2012, 99..2 KOM (2012) 11 endg. Kritisch Masing, Süddeutsche Zeitung Nr. 6 vom 9. Janu-

ar 2012, S. 10.3 ABl. L 350 vom 30.12.2008, S. 60.4 KOM (2012) 10 endg.

den Bereich Polizei und Justiz erstreckt. Der Richtlinien-Vorschlag beruht auf der Kompetenz des Art. 16 Abs. 2 AEUV5 und hat das Datenschutz-Grundrecht des Art. 8 Grundrechte-Charta zu beach-ten.6 Die Richtlinie soll gemäß ihren Erwägungsgründen ein hohes Datenschutzniveau schaffen sowie das gegenseitige Vertrauen der Polizei- und Justizbehörden der Mitgliedstaaten stärken und den Datenaustausch erleichtern, indem innerstaatliche wie grenzüber-schreitende Datenverarbeitung denselben Regeln unterliegen. In der Erklärung Nr. 21 zum Vertrag von Lissabon haben die Vertragsstaa-ten bereits anerkannt, dass für die polizeiliche und justizielle Zu-sammenarbeit spezifische Vorschriften erforderlich sein können.

In den Mitgliedstaaten formiert sich Widerstand gegen das Reformpaket. Der französische Senat hat eine Subsidiaritätsrü-ge nach dem Protokoll zu Art. 12 lit. b EUV erhoben.7 Auch der Bundesrat beabsichtigt, eine Subsidiaritätsrüge einzulegen.8 Die-se Rügen sind im weiteren Gesetzgebungsverfahren zumindest zu berücksichtigen, im Fall des Erreichens bestimmter Quoren muss der Entwurf überprüft werden.9

Der Entwurf der Kommission wird sicherlich noch eine Rei-he von Veränderungen erfahren. Die Regelungen sind aber der Ausgangspunkt für die weitere Diskussion und spiegeln zugleich aktuelle Konzeptionen auf dem Gebiet des Datenschutzes spe-ziell für Polizei und Justiz wider. Sie sollen daher im Folgenden schwerpunktmäßig vorgestellt und bewertet werden (Artikel oh-ne Angabe sind solche des Richtlinien-Entwurfs).

2 Anwendungsbereich und Grundzüge

Die Richtlinie hat einen umfassenden Anwendungsbereich, weil sie für jede Datenverarbeitung der zuständigen Behörden zu den Zwe-cken der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung gilt (Art. 2). Unter Ver-

5 J.-P. Schneider, Die Verwaltung 44 (2011), S. 499.6 Dazu Britz, EuGRZ 2009, 1; Kotzur, EuGRZ 2011, 105; Spiecker gen. Döhmann, JZ 2011,

169; Streinz, DuD 2011, 602.7 Mitteilung des Rechtsausschusses des Europäischen Parlaments vom

20.3.2012 (32/2012) über die Entschließung des französischen Senats vom 4.3.2012.8 BR-Drs. 52/12 vom 30.3.2012.9 Huber, in: Streinz (Hrsg.), EUV/AEUV, 2. Aufl. 2012, Art. 12, Rn. 35 f.

Prof. Dr. Dieter Kugelmann

Deutsche Hochschule der Polizei in Münster. Leiter des Fachgebiets Öffentliches Recht mit Schwerpunkt Polizeirecht einschließlich des internationalen Rechts und des EuroparechtsE-Mail: Dieter.Kugelmann@dhpol.de

Dieter Kugelmann

Datenschutz bei Polizei und JustizDer Richtlinienvorschlag der Kommission

Die Modernisierung des Datenschutzrechts ist eine Daueraufgabe auch der Europäischen Union, die nach Art. 16 Abs. 2 AEUV im Zusammenhang mit der Modernisierung des Datenverkehrsrechts steht. Dabei nimmt die Bedeutung des europäischen Datenschutzes für die Justiz sowie die Polizei- und Sicherheitsbehörden in dem Maße zu, in dem sich ihre Zusammenarbeit und damit die grenzüberschreitende Verarbeitung und Übermittlung von Daten ausweiten. Zugleich setzt der europäische Datenschutz Standards, die auch das innerstaatliche Recht und damit allgemein die Tätigkeiten von Justiz und Polizei betreffen.

DuD Datenschutz und Datensicherheit 8 | 2012 581

SCHWERPUNKT

arbeitung ist auch das Erheben von Daten zu verstehen (Art. 3 Ziff. 3). Die Richtlinie betrifft den Datenschutz, nicht den Datenverkehr (Art. 1 Ziff. 1).10 Rein innerstaatliche Vorgänge werden von den Regelungen erfasst. Ausgenommen sind lediglich Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, z. B. die Verteidigung (s. Art. 39 EUV) und die Datenverarbeitung durch Nachrichten- und Sicherheitsdienste. Allerdings ist die Trennung der Nachrichtendienste von den Polizeibehörden in anderen Mit-gliedstaaten weniger strikt. Für die Verarbeitung von Daten durch die EU selbst und ihre Einrichtungen wie Europol oder FRON-TEX gelten die besonderen Regeln der Agentur oder Einrichtung bzw. die allgemeine Verordnung 45/2001. Der Rahmenbeschluss 2008/977/JI über den Datenschutz im Bereich Justiz und Inneres wird durch Art. 58 aufgehoben und durch die Bestimmungen der Richtlinie ersetzt. In Deutschland sind insbesondere die Polizeige-setze und die Strafprozessordnung von der Umsetzung betroffen, soweit es um die Verhütung und Verfolgung von Straftaten geht. Nach Art. 17 kann das einzelstaatliche Strafprozessrecht für eine Reihe von Konstellationen zur Anwendung kommen.

Im Zusammenhang der Tätigkeit von Justiz- und Polizeibe-hörden werden sensible Daten unterschiedlicher Personenkreise mit unterschiedlichen Zielrichtungen verarbeitet. Dementspre-chend verlang Art. 5, dass die Behörden zwischen den Kategorien betroffener Personen unterscheiden: Personen, gegen die ein be-gründeter Verdacht besteht, Verurteilte, Opfer, Dritte (z.B. even-tuelle Zeugen) und Sonstige. Diese Unterscheidung kann nicht der Anwendungspraxis überlassen bleiben. Vielmehr kommt es auf die gesetzlichen Regelungen an, da an diese Kategorien sehr unterschiedliche Rechtsfolgen geknüpft werden. Der Schutz des Opfers durch die Geheimhaltung von Informationen ist ebenso zu regeln wie die Verwendung von Daten zur Strafvollstreckung.

Vor dem Hintergrund der jeweiligen Rechtsfolgen ist auch die Notwendigkeit zu sehen, Kategorien von Daten nach dem Grad ihrer Richtigkeit und Zuverlässigkeit zu unterscheiden (Art. 6). Die Anordnung einer Freiheitsentziehung oder andere intensive Grundrechtseingriffe dürfen nur auf einer soliden Datengrund-lage erfolgen. Deshalb muss gerade auch im Fall grenzüberschrei-tender Übermittlungen von Daten deren Validität erkennbar sein. Dies gilt auch für Straftaten im Zusammenhang mit dem Urhe-berrecht oder von Cyber Crime. Maßnahmen, die ausschließlich auf automatisierter Datenverarbeitung zum Zweck der Bewertung einzelner Aspekte einer Person erfolgen (Profiling), sind grund-sätzlich verboten, wenn nicht ein Gesetz die Interessen der Person wahrt (Art. 9). Der Grundsatz der Zweckbindung ist in Art. 7 nie-dergelegt, allerdings mit bescheidenen Wirkungen. Schon die all-gemeine Behördenaufgabe soll als Zweck genügen, immerhin lässt sich daran im innerstaatlichen Recht konkretisierend anschließen.

3 Betroffenenrechte und Behördenpflichten

Die Kommission legt nach eigenem Bekunden großen Wert auf Transparenz und die Wahrung der Rechtspositionen des Einzel-nen. Deshalb soll die Ausübung der Betroffenenrechte durch ent-sprechende Strategien der Behörde und ein hohes Maß an Trans-parenz vereinfacht werden (Art. 10). Der Betroffene ist u.a. über die Zwecke der Datenverarbeitung und die Empfänger der Daten, auch in Drittländern, zu informieren (Art. 11). Das Auskunfts-

10 Anders die Datenschutz-Grundverordnung.

recht ist aufgrund der besonderen Aufgaben der Justiz- und Poli-zeibehörden eingeschränkt (Art. 12 ff.). Dies entspricht den auch aus dem innerstaatlichen Recht bekannten Notwendigkeiten der Verhütung und Verfolgung von Straftaten, indem z.B. die Mittei-lung bei heimlichen Ermittlungsmaßnahmen aufgeschoben oder ausgeschlossen werden kann.

In jedem Fall, auch wenn er selbst keine Auskunft erhält, kann der Betroffene die Aufsichtsbehörde darum ersuchen, die Recht-mäßigkeit der Verarbeitung zu prüfen (Art. 14). Die Rechte auf Berichtigung und Löschung (Art. 15, 16) sind bürgerfreund-lich formuliert. Statt der Löschung können die personenbezo-genen Daten markiert werden, insbesondere wenn ihre Richtig-keit überprüft werden muss. Der Begriff der Sperrung ist nach Ansicht der Kommission mehrdeutig und wird nicht verwendet. Die Rechtsfolge einer Markierung ist nicht klar normiert, kann aber nur darin bestehen, die Daten grundsätzlich nicht zu nutzen, um Grundrechtseingriffe auf der Grundlage unrichtiger Daten zu vermeiden. Ausnahmen könnten bei unmittelbar bevorstehenden erheblichen Straftaten erforderlich sein. Im Gegensatz zur Ver-ordnung enthält die Richtlinie zwar kein ausdrückliches Recht auf Vergessen. Insgesamt trägt sie aber dem Datenschutz-Grund-recht des Art. 8 GR-Ch Rechnung und schützt die Rechtspositio-nen des Betroffenen in zufriedenstellendem Maße.

Dieser Schutz wird durch Verpflichtungen des für die Verarbei-tung Verantwortlichen verstärkt, die unabhängige Prüfungen des systemaren Datenschutzes beinhalten (Art. 18). Die Maßgaben des technischen Datenschutzes (Art. 19) und weitere Sicherungsme-chanismen gelten auch bei der Auftragsverarbeitung (Art. 21). Al-le Verarbeitungssysteme und –verfahren sind zu dokumentieren (Art. 23). Verarbeitungsvorgänge sind aufzuzeichnen (Art. 24). Für das europäische Datenschutzrecht sind derart weit gehende Ver-pflichtungen der Behörden zu großen Teilen eine Neuerung.

4 Datensicherheit und Kontrolle

Die verarbeitenden Stellen gewährleisten ein Schutzniveau, das den spezifischen Risiken und der Art der zu schützenden Da-ten im Bereich Justiz und Polizei angemessen ist (Art. 27). Die Kommission soll Durchführungsbestimmungen erlassen kön-nen, die auch Verschlüsselungsstandards regeln können (Art. 27 Abs. 3). Diese Zuständigkeit sollte dem Gesetzgeber obliegen. Sie geht über die der Kommission zustehenden Befugnisse hinaus, weil sie nicht die Durchführung betrifft, sondern eine eigenstän-dige mit Grundrechtseingriffen verbundene Regelung darstellt. Eine der zentralen Vorschriften ist die Bestimmung über die Mel-dung einer Verletzung des Datenschutzes an die Aufsichtsbehörde innerhalb von 24 Stunden nach der Feststellung (Art. 28). Die Mel-dung muss eine Reihe von Informationen enthalten, einschließlich einer Beschreibung der möglichen Folgen. Etwaige Verletzungen sind zu dokumentieren. Diese Regelung hätte erhebliche organisa-torische Auswirkungen auf die Behördentätigkeit. Es ist nicht ab-zusehen, wie und in welchem Umfang Behörden diese Meldepflicht erfüllen können. Für kleinere Polizeibehörden oder auch für Staats-anwaltschaften und Gerichte dürften umfassende Meldepflichten innerhalb kürzester Zeit kaum zu verwirklichen sein. Auch hier soll die Kommission Durchführungsvorschriften erlassen können. Zur Meldung tritt die Benachrichtigung der Person über die Daten-schutzverletzung hinzu (Art. 29). Die behördlichen Datenschutzbe-

582 DuD Datenschutz und Datensicherheit 8 | 2012

SCHWERPUNKT

auftragten sollen im Rahmen ihrer starken Stellung auch die Do-kumentation und die Meldung überwachen (Art. 30 ff.).

5 Übermittlung an Drittstaaten

Die Übermittlung von Daten an Staaten außerhalb der EU oder an internationale Organisationen wie Interpol ist unter Einhaltung der Zweckbindung und des Schutzniveaus der Richtlinie zulässig (Art. 33). Angesichts des Datenhungers etwa der US-amerikanischen Be-hörden liegen hier schwierige Probleme in der Aushandlung ent-sprechender Abkommen etwa über die Weitergabe von Passagierda-ten (PNR). Die Kommission soll berechtigt sein, einen Angemessen-heitsbeschluss nach Art. 41 der Verordnung zu erlassen, der die An-gemessenheit des Datenschutzniveaus in dem Drittstaat feststellt. Dann ist keine weitere Genehmigung erforderlich. Ansonsten prüft die Kommission das Schutzniveau und kann einen besonderen Be-schluss für den Anwendungsbereich der Richtlinie fassen (Art. 34). Da die Kommission die Verhandlungen mit den Drittstaaten führt, sollte sie nicht allein für die Feststellung der Angemessenheit des Datenschutzniveaus zuständig sein. Die Erfahrungen mit den Pas-sagierdaten und den Bankdaten (SWIFT) haben gezeigt, dass zur Sicherung des Datenschutzes eine wesentliche Einflussnahme des Europäischen Parlaments erforderlich ist. Diese sollte sich nicht auf das Verfahren des Vertragsschlusses beschränken.

6 Unabhängige Aufsichtsbehörden und Rolle der Kommission

Die Aufsichtsbehörden, also insbesondere die Datenschutzbe-auftragten, sollen völlig unabhängig sein (Art. 40). Damit wird die Konsequenz aus der EuGH-Rechtsprechung gezogen.11 Die Vorschriften über die personellen Voraussetzungen der Mitglie-der (Art. 41) und das Errichten der Behörde (Art. 42) beeinflus-sen die innerstaatliche Verwaltungsorganisation und das Benen-nungsverfahren in einem Ausmaß, das überzogen sein könnte. Zu den Aufgaben und Befugnissen der Aufsichtsbehörden (Art. 44 ff.) zählen die Untersuchung, aber auch wirksame Einwirkungs-befugnisse und ein eigenständiges Klagerecht. Unter die Einwir-kungsbefugnisse ist nicht notwendig ein Weisungsrecht zu fas-sen, dies verdeutlichen die Beispiele der Stellungnahme und der Verwarnung (Art. 46).

Die Zusammenarbeit der Datenschutzbeauftragten in der EU soll überwiegend im Wege der Amtshilfe erfolgen (Art. 48). Dem Europäischen Datenschutzbeauftragten kommt eine wichtige Rolle zu (Art. 49). In einem Europäischen Datenschutzausschuss, der die bisherige Art. 29-Gruppe ersetzen könnte, sollen alle Da-tenschutzbeauftragten der Mitgliedstaaten und der Europäische Datenschutzbeauftragte gemeinsam wichtige Funktionen über-nehmen. Die verbesserte Kooperation der Datenschutzbeauftrag-ten in der EU ist wünschenswert. Der immer intensiveren Ko-operation der Behörden muss eine intensivere institutionalisierte Kooperation der Aufsichtsbehörden an die Seite gestellt werden.

Nach der Verordnung und der Richtlinie soll der Europäischen Kommission künftig eine erhebliche Rolle beim Datenschutz in der EU zukommen. Sie soll berechtigt sein, eine Reihe von delegierten

11 EuGH, Rs. C-518/07 (Kommission / Deutschland), EuZW 2010, 296 m. Anm. Roßnagel.

Rechtsakten und Durchführungsrechtsakte zu erlassen (Art. 56). Damit wird auf das allgemeine Komitologie-Verfahren zum Er-lass abgeleiteten Rechts verwiesen (Verordnung 182/2011). Diese Berechtigung betrifft insbesondere auch die Meldepflichten (Art. 28 Abs. 5, s.o.). Mit großer Wahrscheinlichkeit wird diese Rolle im Gesetzgebungsverfahren zusammengestrichen werden. Denn die Konzeption der Datenschutzkontrolle, die Amtshilfe und den Da-tenschutzausschuss beinhaltet, würde letztlich zu einer horizonta-len Datenschutzkontrolle in der EU auf der Ebene der Datenschutz-beauftragten unter der Aufsicht der Kommission führen. Die Re-gierungen der Mitgliedstaaten dürften dies kaum hinnehmen und auf der Wahrung innerstaatlicher Kontrollwege und Kontrollme-chanismen bestehen. Vor dem Hintergrund der demokratischen Legitimation, die der Kontrolle der Exekutive zu Grunde liegen muss, bedarf das Kontrollsystem der Richtlinie der Überarbeitung.

7 Rechtsschutz

Der Rechtsschutz soll nach der Richtlinie objektiviert werden. Selbstverständlich kann der Betroffene Beschwerde bei der Auf-sichtsbehörde einlegen (Art. 50 Abs. 1) und dann gegen die Ent-scheidung der Aufsichtsbehörde oder die verarbeitende Behörde klagen (Art. 51, 52). Aber auch Verbände, deren Tätigkeit den Da-tenschutz zum Ziel haben, sollen Klage gegen die Aufsichtsbehör-de oder die verarbeitende Behörde erheben können und zwar mit oder ohne Vollmacht des Betroffenen (Art. 50 Abs. 2, Art. 53 Abs. 1). Diese Regelungen sind dem europäischen Umweltrecht nach-gebildet. Damit stellt sich die Frage, ob die Kompetenz des Art. 16 Abs. 2 AEUV das Prozessrecht umfasst, zumal auch einstweiliger Rechtsschutz gewährt werden muss (Art. 53 Abs. 3: „rasch“). Im Zusammenhang der Datenverarbeitung durch Polizei und Justiz steht die Durchsetzung subjektiver Rechte im Vordergrund. Ein Bedürfnis für eine Verbandsklage kann allenfalls in Fällen beste-hen, in denen der Betroffene typischerweise nichts von der Maß-nahme erfährt, also etwa bei heimlichen Maßnahmen wie der Te-lekommunikationsüberwachung.

8 Zusammenfassung

Die Richtlinie ist als Instrument geeignet und der Verordnung vorzuziehen. Sie überdehnt jedoch die Gesetzgebungskompe-tenz des Art. 16 Abs. 2 AEUV, weil sie auf dem Gebiet von Justiz und Polizei die Verwaltungsorganisation und das Prozessrecht zu stark regelt. Ihr Anwendungsbereich sollte noch konkretisiert werden. Materiell sind die Regelungen weit gehend ein Fortschritt für den Datenschutz in der EU. Der Grundrechtsschutz wird in-haltlich und organisatorisch verbessert. Die für alle Mitgliedstaa-ten verbindlichen Standards führen insgesamt zu mehr Rechts-klarheit. Die Ausgestaltung der Meldepflichten sollte allerdings überdacht werden, um eine effektive Durchsetzung zu ermög-lichen. Eine Verbandsklage auf dem Gebiet des Datenschutzes kann punktuell sinnvoll sein. Auf der organisatorischen Ebene geht die Rolle der Kommission zu weit, insbesondere ihre Be-fugnisse, selbst Rechtsakte zu erlassen. Wesentliche Regelungen muss der europäische oder innerstaatliche Gesetzgeber treffen.

DuD Datenschutz und Datensicherheit 8 | 2012 583

SCHWERPUNKT