EUROPÄISCHE KOMMISSION
Brüssel, den 20.1.2021
COM(2021) 21 final
2021/0009(COD)
Vorschlag für eine
RICHTLINIE DES EUROPÄISCHEN PARLAMENTS UND DES RATES
zur Änderung der Richtlinie 2014/41/EU im Hinblick auf deren Angleichung an die EU-Vorschriften über den Schutz personenbezogener Daten
BEGRÜNDUNG
1.KONTEXT DES VORSCHLAGS
•Gründe und Ziele des Vorschlags
Die Richtlinie (EU) 2016/680 („Richtlinie zum Datenschutz bei der Strafverfolgung“) trat am 6. Mai 2016 in Kraft und musste bis spätestens 6. Mai 2018 von den Mitgliedstaaten in nationales Recht umgesetzt werden. Sie hat den Rahmenbeschluss 2008/977/JI des Rates aufgehoben und ersetzt, stellt jedoch ein viel umfassenderes und allgemeines Datenschutzinstrument dar. Sie gilt insbesondere sowohl für inländische als auch für grenzüberschreitende Datenverarbeitungen für die Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit (Artikel 1 Absatz 1).
Artikel 62 Absatz 6 der Richtlinie zum Datenschutz bei der Strafverfolgung sieht vor, dass die Kommission bis zum 6. Mai 2019 andere Rechtsakte der Union über die Verarbeitung personenbezogener Daten durch die zuständigen Behörden für Strafverfolgungszwecke überprüft, um festzustellen, inwieweit eine Anpassung an diese Richtlinie notwendig ist, und um gegebenenfalls die erforderlichen Vorschläge zur Änderung dieser Rechtsakte zu unterbreiten, damit ein einheitliches Vorgehen beim Schutz personenbezogener Daten innerhalb des Anwendungsbereichs dieser Richtlinie gewährleistet ist.
Die Kommission hat die Ergebnisse ihrer Überprüfung in ihrer Mitteilung „Weiteres Vorgehen hinsichtlich der Angleichung des früheren Besitzstands des dritten Pfeilers an die Datenschutzvorschriften“ vom 24. Juni 2020 vorgestellt und darin zehn Rechtsakte, die an die Richtlinie zum Datenschutz bei der Strafverfolgung angeglichen werden müssen, sowie einen diesbezüglichen Zeitplan aufgeführt. Einer der aufgelisteten Rechtsakte ist die Richtlinie 2014/41/EU des Europäischen Parlaments und des Rates über die Europäische Ermittlungsanordnung in Strafsachen. Die Kommission hat angekündigt, dass sie im letzten Quartal 2020 gezielte Änderungen dieser Richtlinie vorschlagen wird; diesem Zweck dient dieser Vorschlag.
Hierbei handelt es sich nicht um eine Initiative im Rahmen des Programms zur Gewährleistung der Effizienz und Leistungsfähigkeit der Rechtsetzung (REFIT).
•Kohärenz mit den bestehenden Vorschriften in diesem Bereich
Dieser Vorschlag zielt darauf ab, die Datenschutzvorschriften der Richtlinie 2014/41/EU an die Grundsätze und Vorschriften der Richtlinie zum Datenschutz bei der Strafverfolgung anzugleichen, um einen soliden und kohärenten Datenschutzrahmen der Union zu schaffen.
•Kohärenz mit der Politik der Union in anderen Bereichen
2.RECHTSGRUNDLAGE, SUBSIDIARITÄT UND VERHÄLTNISMÄSSIGKEIT
•Rechtsgrundlage
Der Vorschlag beruht auf Artikel 16 Absatz 2 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV).
Der ursprüngliche Rechtsakt gründete sich auf ex-Artikel 34 Absatz 2 Buchstabe b des ehemaligen Vertrags über die Europäische Union, dem eher Artikel 82 Absatz 1 AEUV entspricht. Gleichwohl sind sowohl das Ziel als auch der Inhalt der vorgeschlagenen Änderung eindeutig auf den Schutz personenbezogener Daten begrenzt.
Hierfür stellt Artikel 16 Absatz 2 AEUV die am besten geeignete Rechtsgrundlage dar, da er es ermöglicht, Vorschriften zu erlassen, die den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Mitgliedstaaten bei der Ausübung von Tätigkeiten im Rahmen des Unionsrechts und den freien Verkehr personenbezogener Daten regeln.
Gemäß Artikel 2a des Protokolls Nr. 22 ist Dänemark nicht an auf der Grundlage von Artikel 16 AEUV erlassene Vorschriften gebunden, welche sich auf die Verarbeitung personenbezogener Daten bei der Ausübung von Tätigkeiten beziehen, die in den Anwendungsbereich des Dritten Teils Titel IV Kapitel 4 und 5 AEUV fallen. Gleiches gilt gemäß Artikel 6a des Protokolls Nr. 21 für Irland.
•Subsidiarität (bei nicht ausschließlicher Zuständigkeit)
Nur die Europäische Union kann einen Gesetzgebungsakt zur Änderung der Richtlinie 2014/41/EU erlassen.
•Verhältnismäßigkeit
Dieser Vorschlag beschränkt sich auf das erforderliche Maß für die Angleichung der Richtlinie 2014/41/EU an die geltenden Unionsvorschriften zum Schutz personenbezogener Daten (insbesondere an die Richtlinie zum Datenschutz bei der Strafverfolgung) ohne jedwede Änderung des Anwendungsbereichs der Richtlinie. Die vorliegende Richtlinie geht entsprechend Artikel 5 Absatz 4 des Vertrags über die Europäische Union nicht über das zur Erreichung dieser Ziele erforderliche Maß hinaus.
•Wahl des Instruments
Das für die Änderung der Richtlinie 2014/41/EU am besten geeignete Instrument ist eine Richtlinie.
3.ERGEBNISSE DER EX-POST-BEWERTUNG, DER KONSULTATION DER INTERESSENTRÄGER UND DER FOLGENABSCHÄTZUNG
•Ex-post-Bewertung/Eignungsprüfung bestehender Rechtsvorschriften
Dieser Vorschlag knüpft an die Ergebnisse der von der Kommission gemäß Artikel 62 Absatz 6 der Richtlinie zum Datenschutz bei der Strafverfolgung durchgeführten Überprüfung an, die in der Mitteilung „Weiteres Vorgehen hinsichtlich der Angleichung des früheren Besitzstands des dritten Pfeilers an die Datenschutzvorschriften“ vorgestellt worden sind. In der Mitteilung werden Punkte aufgeführt, bei denen eine Angleichung erforderlich ist. Insbesondere wird darauf hingewiesen, dass klargestellt werden muss, dass jede nach Maßgabe der Richtlinie 2014/41/EU erfolgende Verarbeitung personenbezogener Daten je nachdem, ob sie im Rahmen eines Strafverfahrens oder aber eines nicht strafrechtlichen Verfahrens durchgeführt wird, den Bestimmungen der Richtlinie zum Datenschutz bei der Strafverfolgung bzw. der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) unterliegt. Durch die Angleichung sollte klargestellt werden, dass alle nach Maßgabe der Richtlinie 2014/41/EU eingeholten Daten nur unter den in der Richtlinie zum Datenschutz bei der Strafverfolgung (Artikel 4 Absatz 2 bzw. Artikel 9 Absatz 1) oder in der DSGVO (Artikel 6) festgelegten Bedingungen für andere Zwecke verarbeitet werden dürfen als für die, zu denen sie erhoben wurden.
Durch die vorgeschlagene Streichung des Artikels 20 der Richtlinie 2014/41/EU beschränkt sich der vorliegende Vorschlag auf das zur Präzisierung der vorgenannten Punkte erforderliche Maß.
•Konsultation der Interessenträger
•Einholung und Nutzung von Expertenwissen
Die Kommission hat bei ihrer Überprüfung die Ergebnisse einer Studie berücksichtigt, die im Rahmen des Pilotprojekts „Grundrechtliche Überprüfung von Datenerhebungsinstrumenten und -programmen der EU“ durchgeführt wurde. Die Studie umfasste eine Bestandsaufnahme der Rechtsakte der Union, die durch Artikel 62 Absatz 6 der Richtlinie zum Datenschutz bei der Strafverfolgung erfasst werden, sowie die Ermittlung der Vorschriften, die möglicherweise einer Angleichung in Bezug auf Datenschutzaspekte bedürfen.
•Folgenabschätzung
Die Auswirkungen dieses Vorschlags sind auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden in den durch die Richtlinie 2014/41/EU geregelten spezifischen Fällen beschränkt. Die Auswirkungen der neuen, sich aus der Richtlinie zum Datenschutz bei der Strafverfolgung ergebenden Pflichten wurden im Rahmen der Vorarbeiten für die Richtlinie zum Datenschutz bei der Strafverfolgung bewertet. Daher ist eine spezifische Folgenabschätzung für diesen Vorschlag nicht erforderlich.
•Effizienz der Rechtsetzung und Vereinfachung
•Grundrechte
Das Recht auf den Schutz personenbezogener Daten ist in Artikel 8 der Charta der Grundrechte der Europäischen Union und in Artikel 16 AEUV verankert. Wie der Gerichtshof der Europäischen Union betont hat, kann das Recht auf Schutz der personenbezogenen Daten jedoch keine uneingeschränkte Geltung beanspruchen, sondern muss im Hinblick auf seine gesellschaftliche Funktion gesehen werden. Der Datenschutz hängt zudem eng mit der Achtung des Privat- und Familienlebens zusammen, das durch Artikel 7 der Charta geschützt ist.
Durch diesen Vorschlag soll sichergestellt werden, dass jede nach Maßgabe der Richtlinie 2014/41/EU erfolgende Verarbeitung personenbezogener Daten den „horizontalen“ Grundsätzen und Vorschriften der EU-Datenschutzvorschriften unterliegt und somit Artikel 8 der Charta weiter umgesetzt wird. Diese Rechtsvorschriften zielen darauf ab, ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten, und die Klarstellung, dass die Grundsätze und Vorschriften der Richtlinie (EU) 2016/680 auf die nach Maßgabe der Richtlinie erfolgende Datenverarbeitung Anwendung finden, wird sich positiv auf die Grundrechte auf Privatsphäre und Datenschutz auswirken.
4.AUSWIRKUNGEN AUF DEN HAUSHALT
5.WEITERE ANGABEN
•Durchführungspläne sowie Monitoring-, Bewertungs- und Berichterstattungsmodalitäten
•Erläuternde Dokumente (bei Richtlinien)
Für diesen Vorschlag werden keine erläuternden Dokumente zur Umsetzung benötigt, da der Vorschlag lediglich auf die Streichung eines Artikels der Richtlinie 2014/41/EU abstellt.
•Ausführliche Erläuterung einzelner Bestimmungen des Vorschlags
Artikel 1 sieht vor, dass Artikel 20 der Richtlinie 2014/41/EU gestrichen wird. Insofern beschränkt sich der vorliegende Vorschlag auf das zur Präzisierung der vorgenannten Punkte erforderliche Maß. Artikel 20 sieht vor, dass jedwede nach Maßgabe der Richtlinie erfolgende Verarbeitung personenbezogener Daten im Einklang mit dem Rahmenbeschluss 2008/977/JI des Rates und den Grundsätzen des Übereinkommens des Europarates vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten und dem dazugehörigen Zusatzprotokoll stehen muss.
Der Rahmenbeschluss ist mit Wirkung vom 6. Mai 2018 durch die Richtlinie zum Datenschutz bei der Strafverfolgung aufgehoben worden. Artikel 59 der Richtlinie zum Datenschutz bei der Strafverfolgung sieht vor, dass Verweise auf den Rahmenbeschluss als Verweise auf die Richtlinie zum Datenschutz bei der Strafverfolgung gelten.
Gemäß Artikel 2 Absatz 1 der Richtlinie zum Datenschutz bei der Strafverfolgung gilt diese für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zu den in Artikel 1 Absatz 1 genannten Zwecken (Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit). Die Richtlinie 2014/41/EU gilt jedoch auch für bestimmte nicht strafrechtliche Verfahren – welche durch die DSGVO geregelt werden.
Die Tatsache, dass in Artikel 20 der Richtlinie 2014/41/EU auf den Rahmenbeschluss Bezug genommen wird, könnte zu Verwirrung darüber führen, ob die Richtlinie zum Datenschutz bei der Strafverfolgung auch für die Verarbeitung von sich auf Europäische Ermittlungsanordnungen beziehenden personenbezogenen Daten im Zusammenhang mit nicht strafrechtlichen Verfahren gilt (welche ja nicht in den Anwendungsbereich der Richtlinie zum Datenschutz bei der Strafverfolgung fallen). Um diesbezüglich Abhilfe zu schaffen, genügt es, den Artikel 20 zu streichen. Die Richtlinie zum Datenschutz bei der Strafverfolgung gilt weiterhin für die nach Maßgabe der Richtlinie 2014/41/EU erfolgende Verarbeitung personenbezogener Daten im Rahmen ihres Anwendungsbereichs.
Da die Richtlinie zum Datenschutz bei der Strafverfolgung und die DSGVO (innerhalb ihres jeweiligen Anwendungsbereichs) für die Verarbeitung personenbezogener Daten im Rahmen der Richtlinie 2014/41/EU gelten, sind für die Verarbeitung dieser Daten für andere Zwecke als für die, zu denen sie erhoben wurden, auch nur die Richtlinie zum Datenschutz bei der Strafverfolgung (gemäß Artikel 4 Absatz 2 bzw. Artikel 9 Absatz 1) oder die DSGVO (gemäß Artikel 6 Absatz 4) maßgeblich. Dafür bedarf es keiner neuen Bestimmungen.
Artikel 20 der Richtlinie 2014/41/EU sieht zudem vor, dass der Zugang zu personenbezogenen Daten unbeschadet der Rechte der von der Datenverarbeitung betroffenen Person beschränkt wird und nur befugte Personen Zugang zu solchen Daten haben. Die Richtlinie zum Datenschutz bei der Strafverfolgung und die DSGVO bilden einen umfassenden Rahmen für die Rechte der betroffenen Personen und die Pflichten des für die Verarbeitung Verantwortlichen, unter anderem in Bezug auf den Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sowie in Bezug auf die Sicherheit der Verarbeitung. Der zweite Absatz von Artikel 20 ist daher überflüssig.
Da die Richtlinie 2014/41/EU keine spezifischen Datenschutzbestimmungen enthält, sind keine weiteren datenschutzspezifischen Änderungen erforderlich.
In Artikel 2 wird die Frist für die Umsetzung der vorgeschlagenen neuen Richtlinie festgelegt.
In Artikel 3 wird das Datum des Inkrafttretens dieser Richtlinie festgelegt.
Artikel 4 legt fest, dass diese Richtlinie an die Mitgliedstaaten gerichtet ist.
2021/0009 (COD)
Vorschlag für eine
RICHTLINIE DES EUROPÄISCHEN PARLAMENTS UND DES RATES
zur Änderung der Richtlinie 2014/41/EU im Hinblick auf deren Angleichung an die EU-Vorschriften über den Schutz personenbezogener Daten
DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16 Absatz 2,
auf Vorschlag der Europäischen Kommission,
nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,
gemäß dem ordentlichen Gesetzgebungsverfahren,
in Erwägung nachstehender Gründe:
(1)Gemäß Artikel 62 Absatz 6 der Richtlinie (EU) 2016/680 überprüft die Kommission andere Rechtsakte der Union über die Verarbeitung personenbezogener Daten durch die zuständigen Behörden für die in Artikel 1 Absatz 1 dieser Richtlinie genannten Zwecke, um festzustellen, inwieweit eine Anpassung an diese Richtlinie notwendig ist, und um gegebenenfalls die erforderlichen Vorschläge zur Änderung dieser Rechtsakte zu unterbreiten, damit ein einheitliches Vorgehen beim Schutz personenbezogener Daten innerhalb des Anwendungsbereichs dieser Richtlinie gewährleistet ist. Bei dieser Überprüfung ist die Richtlinie 2014/41/EU als einer der zu ändernden Rechtsakte ermittelt worden.
(2)Im Interesse der Kohärenz und des wirksamen Schutzes personenbezogener Daten sollten bei der nach Maßgabe der Richtlinie 2014/41/EU erfolgenden Verarbeitung personenbezogener Daten die anwendbaren Vorschriften der Richtlinie (EU) 2016/680 eingehalten werden. Die Verordnung (EU) 2016/679 sollte für die Verarbeitung personenbezogener Daten in Bezug auf die in Artikel 4 Buchstaben b, c und d der Richtlinie 2014/41/EU genannten Verfahren gelten, sofern diese nicht unter die Richtlinie (EU) 2016/680 fallen.
(3)Nach den Artikeln 1 und 2 sowie Artikel 4a Absatz 1 des dem Vertrag über die Europäische Union und dem Vertrag über die Arbeitsweise der Europäischen Union beigefügten Protokolls Nr. 21 über die Position des Vereinigten Königreichs und Irlands hinsichtlich des Raums der Freiheit, der Sicherheit und des Rechts und unbeschadet des Artikels 4 dieses Protokolls beteiligt sich Irland nicht an der Annahme dieser Richtlinie und ist weder durch diese Richtlinie gebunden noch zu ihrer Anwendung verpflichtet.
(4)Nach den Artikeln 1 und 2 des dem Vertrag über die Europäische Union und dem Vertrag über die Arbeitsweise der Europäischen Union beigefügten Protokolls Nr. 22 über die Position Dänemarks beteiligt sich Dänemark nicht an der Annahme dieser Richtlinie und ist weder durch diese Richtlinie gebunden noch zu ihrer Anwendung verpflichtet.
(5)Die Richtlinie 2014/41/EU sollte daher entsprechend geändert werden.
(6)Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 der Verordnung (EU) 2018/1725 angehört und hat am XX XXXX eine Stellungnahme abgegeben —
HABEN FOLGENDE RICHTLINIE ERLASSEN:
Artikel 1
Änderungen der Richtlinie 2014/41/EU
Artikel 20 der Richtlinie 2014/41/EU wird gestrichen.
Artikel 2
1.Die Mitgliedstaaten setzen die erforderlichen Rechts- und Verwaltungsvorschriften in Kraft, um dieser Richtlinie spätestens [ein Jahr nach ihrem Erlass] nachzukommen. Sie teilen der Kommission unverzüglich den Wortlaut dieser Vorschriften mit.
Bei Erlass dieser Vorschriften nehmen die Mitgliedstaaten in den Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veröffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelheiten dieser Bezugnahme.
2.Die Mitgliedstaaten teilen der Kommission den Wortlaut der wichtigsten nationalen Rechtsvorschriften mit, die sie auf dem unter diese Richtlinie fallenden Gebiet erlassen.
Artikel 3
Diese Richtlinie tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Artikel 4
Diese Richtlinie ist gemäß den Verträgen an die Mitgliedstaaten gerichtet.
Geschehen zu Brüssel am
Im Namen des Europäischen Parlaments
Im Namen des Rates
Der Präsident
Der Präsident