Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Der im Dezember 2009 in Kraft getretene Vertrag von Lissabon wirkt sich auch auf das deutsche Datenschutzrecht aus.
Am 1. Dezember 2009 trat der Vertrag von Lissabon in Kraft. Er ist ein weiterer Schritt zur europäischen Integration und bekräftigt die eminente Bedeutung des europäischen Rechts für den deutschen Datenschutz. Er ist freilich kein Surrogat für eine Europäische Verfassung. Maßgeblich sind nach wie vor die europäischen Verträge (Primärrecht). Deren Geltung steht, wie das Bundesverfassungsgericht betont hat, unter dem Vorbehalt von Art. 23 Abs. 2 Satz 3 i.V.m. Art. 79 Abs. 2 GG (Urteil vom 30.06.2009 – 2 BvE 2/08 u.a.-, DVBl. 2009, 1032 = NJW 2009, 2267; hierzu Ruffert, DVBl. 2009, 1197 f.; Gärditz/Hillgruber JZ 2009,872 ff.; Claasen JZ 2009, 881 ff.; Frenz, VerwArch 2009, 475 ff.; Halberstam/Möller German Law Journal 2009, 1241 ff.; Schönberger German Law Journal 2009, 1201 ff.; Nettesheim, NJW 2009, 2867; v. Bogdandy, NJW 2010, 1 ff.). Das bedeutet, dass auch auf europarechtlicher Grundlage in den durch Art. 1 Abs. 1 GG geschützten Kernbereich privater Lebensgestaltung nicht eingedrungen werden darf. Insofern kann man von einem „Vorrang des Rechts auf informationelle Selbstbestimmung vor der AEUV“ sprechen (Ronellenfitsch, in: Der Hessische Datenschutzbeauftragte, [Hrsg.], Datenschutz in Deutschland nach dem Vertrag von Lissabon, 2009, S. 75 ff.). Ansonsten bleibt es beim Anwendungsvorrang des EU-Rechts, dem damit auf dem Gebiet des Datenschutzes weiterhin zentrale Bedeutung zukommt.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat dem Hessischen Datenschutzbeauftragten die Wahrnehmung der Interessen der Landesdatenschutzbeauftragten in der europäischen Kontrollinstanz für das Schengener Informationssystem übertragen. Der Beitrag stellt die Arbeitsschwerpunkte der Sitzungen der Kontrollinstanz im Berichtszeitraum dar.
2.2.1
Schengener Informationssystem der zweiten Generation (SIS II)
Im letzten Tätigkeitsbericht (Ziff. 2.1.1) hatte ich Anfang 2009 als voraussichtlichen Termin für den Start von SIS II genannt. Daraus ist nichts geworden. Vielmehr stand die Realisierung von SIS II im Frühjahr d.J. grundsätzlich in Frage, da die entsprechenden Tests in den Mitgliedsländern sehr unbefriedigend ausfielen. Es stand deshalb zur Disposition entweder das bestehende SIS I Plus mit den neuen in den Rechtsgrundlagen für SIS II enthaltenen Funktionalitäten zu einem SIS I Plus Re (Renewal) auszubauen oder doch weiter auf den Ausbau des SIS II zu setzen. Der Rat für Justiz und Inneres entschied dann Anfang Juni d.J., dass das SIS II in zwei weiteren Phasen getestet werden soll, die bis in den Sommer 2010 hinein geplant sind. Wichtig war die Aussage, dass für den Fall, dass die Tests scheitern, das laufende SIS-II-Programm eingestellt und die Entwicklung auf der Grundlage der technischen Lösung SIS I Plus Re fortgesetzt werden soll.
Weiterhin scheint festzustehen, dass die neuen Rechtsgrundlagen für SIS II auf jeden Fall Anwendung finden sollen, sei es für die SIS-I-Plus-Re-Version oder für die bisher vorgesehene SIS-II-Technik.
Die neuen Rechtsgrundlagen für SIS II sehen als Kontrollinstrument nicht mehr die Gemeinsame Kontrollinstanz (GK) vor. Vielmehr soll die Kontrolle durch den Europäischen Datenschutzbeauftragten hinsichtlich des zentralen Teils SIS und der damit zusammenhängenden Fragen vorgenommen werden. Hinzu kommen die nationalen Kontrollinstanzen in den einzelnen Schengen-Staaten, deren Zusammenarbeit durch die in den Rechtsakten vorgesehenen gemeinsamen Sitzungen formalisiert wird.
2.2.2
Gemeinsame Überprüfung der Ausschreibungen zur vorläufigen In Gewahrsamnahme
Die GK hat eine gemeinsame Überprüfung von Ausschreibungen nach Art. 97 Schengener Durchführungsübereinkommen (SDÜ) vorgenommen. Dabei geht es zum einen u.a. um Vermisste und andere Personen sowie Minderjährige.
|
Art. 97 SDÜ
Daten in Bezug auf Vermisste oder Personen, die im Interesse ihres eigenen Schutzes oder zur Gefahrenabwehr auf Ersuchen der zuständigen Behörde oder des zuständigen Gerichts der ausschreibenden Vertragspartei vorläufig in Gewahrsam genommen werden müssen, werden aufgenommen, damit die Polizeibehörden den Aufenthalt der ausschreibenden Vertragspartei mitteilen oder die Person in Gewahrsam nehmen können, um deren Weiterreise zu verhindern, soweit es das nationale Recht erlaubt. Dies gilt insbesondere für Minderjährige und Personen, die aufgrund einer Anordnung einer zuständigen Stelle zwangsweise untergebracht werden müssen. |
In dem verabschiedeten Bericht über die gemeinsame Kontrolle stellt die GK u.a. fest, dass nicht in allen Schengen-Staaten Verfahrensvorschriften für die Ausschreibung vorgesehen sind und empfiehlt diese zu erlassen. Sie weist weiterhin darauf hin, dass bei der Ausschreibung von Minderjährigen durch automatische Verfahren sichergestellt werden muss, dass die Ausschreibungen bei Erreichen der Volljährigkeit gelöscht werden. Eine weitere wichtige Forderung betrifft den Zugang der unterschiedlichsten Behörden auf die Ausschreibungen nach Art. 97 SDÜ. Hier ist sicherzustellen, dass nur die in den Vorschriften vorgesehenen Behörden einen derartigen Zugriff haben dürfen.
2.2.3
Gemeinsame Überprüfung der Ausschreibungen zur Wohnsitz- und Aufenthaltsermittlung
Eine weitere konzertiere Überprüfung betrifft die Ausschreibungen nach Art. 98 SDÜ im Schengener Informationssystem. Dabei geht es vor allem um Zeugen und andere Personen, die vor Gericht erscheinen müssen.
|
Art. 98 Abs. 1 SDÜ
Daten in Bezug auf Zeugen sowie auf Personen, die im Rahmen eines Strafverfahrens wegen Taten vor Gericht erscheinen müssen, derentwegen sie verfolgt werden oder Personen, denen ein Strafurteil oder die Ladung zum Antritt einer Freiheitsentziehung zugestellt werden muss, werden auf Ersuchen der zuständigen Justizbehörden im Hinblick auf die Mitteilung des Wohnsitzes oder des Aufenthalts aufgenommen. |
|
Art. 112 Abs. 1 SDÜ
Die zur Personenfahndung in dem Schengener Informationssystem aufgenommenen personenbezogenen Daten werden nicht länger als für den verfolgten Zweck erforderlich gespeichert. Spätestens drei Jahre nach ihrer Einspeicherung ist die Erforderlichkeit der weiteren Speicherung von der ausschreibenden Vertragspartei zu prüfen. ... |
Die GK fordert weiterhin, dass nur die in den Vorschriften vorgesehenen Behörden Zugriff auf die Ausschreibungen haben.
2.2.4
Leitfaden zum Auskunftsrecht in allen Schengen-Staaten
Eine Besonderheit des Schengener Durchführungsübereinkommens besteht darin, dass jede Person in jedem Schengen-Staat, Auskunft bzw. Berichtigung oder Löschung über die zu ihrer Person im SIS gespeicherten Daten verlangen kann, unabhängig davon, welcher Staat die Ausschreibung vorgenommen hat.
|
Art. 109 Abs. 1 SDÜ
Das Recht jeder Person, über die zu ihrer Person im Schengener Informationssystem gespeicherten Daten Auskunft zu erhalten, richtet sich nach dem nationalen Recht der Vertragspartei, in deren Hoheitsgebiet das Auskunftsrecht beansprucht wird. Soweit das nationale Recht dies vorsieht, entscheidet die in Art. 114 Abs. 1 vorgesehene nationale Kontrollinstanz, ob und in welcher Weise Auskunft erteilt wird.
Jeder hat das Recht, auf seine Person bezogene unrichtige Daten berichtigen oder unrechtmäßig gespeicherte Daten löschen zu lassen. |
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat dem Hessischen Datenschutzbeauftragten die Wahrnehmung der Interessen der Länderdatenschutzbeauftragten in der europäischen Kontrollinstanz für EUROPOL übertragen. Der Beitrag stellt die Arbeitsschwerpunkte der Sitzungen der Kontrollinstanz im Berichtszeitraum dar.
2.3.1
Neue Rechtsgrundlagen für EUROPOL
In meinen letzten Tätigkeitsberichten (36. Tätigkeitsbericht, Ziff. 3.2.1, 37. Tätigkeitsbericht, Ziff. 2.1.2.1) hatte ich darauf hingewiesen, dass das EUROPOL-Abkommen durch einen Ratsbeschluss nach Art. 34 Abs. 2c EU-Vertrag ersetzt werden soll. Der Beschluss des Rates zur Errichtung des Europäischen Polizeiamts (EUROPOL) ist nunmehr verabschiedet (ABl. 2009 L 121/37) und gilt ab 1. Januar 2010.
Anders als bei den neuen Rechtsvorschriften für SIS II (s. oben Ziff. 2.1.1) bleibt die GK für EUROPOL bestehen.
|
Art. 34 Abs. 1 des EUROPOL-Beschlusses
Es wird eine unabhängige Gemeinsame Kontrollinstanz eingesetzt, deren Aufgabe darin besteht, nach Maßgabe dieses Beschlusses die Tätigkeit von EUROPOL daraufhin zu überprüfen, ob durch die Speicherung, Verarbeitung und Verwendung der bei EUROPOL vorhandenen Daten die Rechte des Einzelnen verletzt werden. Darüber hinaus kontrolliert die Gemeinsame Kontrollinstanz die Zulässigkeit der Übermittlung der von EUROPOL stammenden Daten. |
Die neuen Rechtsgrundlagen für EUROPOL führen dazu, dass eine ganze Reihe von Implementierungsvorschriften erarbeitet werden, zu denen die Stellungnahmen der GK eingeholt werden. Die GK hat sich u.a. geäußert zu den Durchführungsvorschriften für Analysedateien, zu Durchführungsbestimmungen für die Teilnahme von Drittstaaten in Analysegruppen und Vorschriften zur Regelung der Beziehungen zwischen EUROPOL und privaten Stellen.
2.3.2
Kontrolle des Internets
Im 36. Tätigkeitsbericht (Ziff. 3.2.3) hatte ich von dem unter deutscher Ratspräsidentschaft initiierten „Check-the-Web“-Projekt hinsichtlich islamistischem Terrorismus berichtet. Das Projekt wurde im Rahmen einer Inspektion durch die GK geprüft. Auch wegen der dabei aufgetretenen rechtlichen Probleme verfolgt EUROPOL nunmehr den Plan, die Informationen zu islamistischem Terrorismus in eine Analysedatei einzustellen. Die GK hat dies begrüßt, weil sich das Projekt dadurch in einem bestimmten rechtlichen Rahmen halten muss. Neu ist allerdings, dass EUROPOL mit der Analysedatei ein sog. Portal verbindet, das eine Auswahl von Informationen enthält. Zweck dieses Portals ist es, Drittstaaten schnell und unbürokratisch Zugriff auf bestimmte Informationen zu islamistischem Terrorismus zu geben. Die Arbeitsgruppe Analysedatei der GK, in der ich vertreten bin, hat mit EUROPOL zusammen dafür ein Verfahren entwickelt, das den rechtlichen Vorgaben genügt.
2.3.3
Austausch von Informationen mit Drittstaaten
Die GK hat Informationen erhalten, dass Informationen aus Drittstaaten an EUROPOL gelangen ohne dass EUROPOL mit diesen Staaten – wie im EUROPOL-Abkommen oder auch demnächst im Ratsbeschluss vorgesehen – Vereinbarungen getroffen hat. Diese Informationen sollen über einen EUROPOL-Mitgliedsstaat erfolgen, der die Informationen aus dem Drittstaat erhält. Auf diese Weise wird die Voraussetzung umgangen, dass der Drittstaat über ein adäquates Datenschutzniveau verfügen muss, und die GK hat keine Möglichkeit, eine Stellungnahme zu dem Datenschutzniveau abzugeben. Die GK wird bei EUROPOL prüfen, ob es dort Daten aus Drittländern ohne derartige Vereinbarungen gibt und ob dieser Austausch evtl. in einer strukturierten Form erfolgt.
2.3.4
Kontrolle von EUROPOL
Die GK hat im Jahr 2009 wieder eine Kontrolle bei EUROPOL durchgeführt. Der Bericht über diese Kontrolle ist vertraulich.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Der Europäische Datenschutzbeauftragte und die nationalen Kontrollinstanzen haben eine Koordinierungsgruppe gegründet, um die Kontrollen des Europäischen Fingerabdrucksystems EURODAC besser abzustimmen. Der Hessische Datenschutzbeauftragte ist Mitglied der deutschen Delegation.
Im 37. Tätigkeitsbericht (Ziff. 2.2) hatte ich berichtet, dass die Koordinierungsgruppe Kontrollen von EURODAC in den Mitgliedsländern nach gemeinsamen Kriterien vornehmen will.
Zwei von den drei damals genannten Kontrollthemen sind abgeschlossen und in einem Kontrollbericht zusammengefasst (Eurodac Supervision Coordination Group, Second Inspection Report vom 24. Juni 2009, http://www.edps.europa.eu).
Die erste Kontrolle betrifft die Frage, inwieweit die Mitgliedsstaaten der in Art. 18 EURODAC-Verordnung enthaltenen Verpflichtung nachkommen, die Betroffenen über Einzelheiten des Fingerabdruckverfahrens zu informieren.
|
Art. 18 EURODAC-Verordnung
(1) Der Herkunftsmitgliedstaat unterrichtet die Personen, die unter diese Verordnung fallen, über |
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht