1.4.2011   

DE

Amtsblatt der Europäischen Union

C 101/20

1.

Die Kommission hat am 30. September 2010 einen Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Europäische Agentur für Netz- und Informationssicherheit (ENISA) (3) angenommen.

2.

Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) wurde im März 2004 durch die Verordnung (EG) Nr. 460/2004 (4) für einen Zeitraum von zunächst fünf Jahren errichtet. 2008 wurde das Mandat der ENISA durch die Verordnung (EG) Nr. 1007/2008 (5) bis zum März 2012 verlängert.

3.

Wie aus Artikel 1 Absatz 1 der Verordnung (EG) Nr. 460/2004 hervorgeht, wurde die Agentur errichtet, um eine hohe und effektive Netz- und Informationssicherheit innerhalb der Union zu gewährleisten und damit zum reibungslosen Funktionieren des Binnenmarkts beizutragen.

4.

Der Vorschlag der Kommission sieht vor, die Agentur zu modernisieren, ihre Kompetenzen zu stärken und ein neues fünfjähriges Mandat festzulegen, das das Weiterbestehen der Agentur nach Ablauf des derzeitigen Mandats im März 2012 sicherstellt (6).

5.

Rechtsgrundlage des vorgelegten Vorschlags für eine Verordnung ist Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) (7), mit dem der Union Befugnisse übertragen werden, die erforderlichen Maßnahmen zu erlassen, um den Binnenmarkt zu verwirklichen beziehungsweise dessen Funktionieren zu gewährleisten. Artikel 114 AEUV tritt an die Stelle von Artikel 95 des ehemaligen EG-Vertrags, der die Rechtsgrundlage für frühere Verordnungen über die ENISA bildete (8).

6.

In der Begründung des Vorschlags wird darauf verwiesen, dass die Union mit dem Inkrafttreten des Vertrags von Lissabon über eine geteilte Zuständigkeit bei der Verbrechensvorbeugung und -bekämpfung verfügt. Dies bietet der ENISA nun die Möglichkeit, als Vermittlungsplattform für die Aspekte der Netz- und Informationssicherheit (NIS) bei der Bekämpfung von Cyberkriminalität zu dienen und Meinungen sowie bewährte Verfahren mit den für Cyberverteidigung, Strafverfolgung und Datenschutz zuständigen Behörden auszutauschen.

7.

Nach Prüfung verschiedener Optionen wurde von der Kommission die Vorlage eines Vorschlags beschlossen, der die Ausweitung der Aufgaben der ENISA und die Einbindung der Strafverfolgungs- und Datenschutzbehörden als vollwertige Mitglieder in die Ständige Gruppe der Interessenvertreter vorsieht. Die neue Aufgabenbeschreibung beinhaltet keine operativen Aufgaben, sondern eine Aktualisierung und Neuformulierung des aktuellen Tätigkeitsbereichs.

8.

Am 1. Oktober 2010 wurde der Vorschlag dem EDSB zwecks Konsultation gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 übermittelt. Der EDSB begrüßt es, dass er in dieser Angelegenheit konsultiert wurde, und empfiehlt, eine Bezugnahme auf diese Konsultation in die Erwägungsgründe des Vorschlags aufzunehmen, wie dies üblicherweise bei Rechtstexten geschieht, zu denen er gemäß Verordnung (EG) Nr. 45/2001 konsultiert wurde.

9.

Der EDSB wurde vor Annahme des Vorschlags informell konsultiert und übermittelte mehrere informelle Anmerkungen. In der endgültigen Fassung des Vorschlags wurde jedoch keine dieser Anmerkungen berücksichtigt.

10.

Der EDSB hebt hervor, dass die Sicherheit der Datenverarbeitung ein wichtiges Element des Datenschutzes ist (9). Vor diesem Hintergrund begrüßt er, dass der Vorschlag eine Stärkung der Kompetenzen der Agentur vorsieht, damit sie ihre derzeitigen Aufgaben und Verantwortlichkeiten wirksamer wahrnehmen und gleichzeitig ihren Tätigkeitsbereich erweitern kann. Außerdem befürwortet der EDSB die Einbindung der Strafverfolgungs- und Datenschutzbehörden als vollwertige Akteure. Er betrachtet die Verlängerung des Mandats der ENISA als Möglichkeit, auf europäischer Ebene eine kompetente und effiziente Steuerung von Sicherheitsmaßnahmen für Informationssysteme zu fördern.

11.

Insgesamt wird der Vorschlag positiv beurteilt. Da die vorgeschlagene Verordnung in einigen Punkten jedoch unklar oder unvollständig ist, bestehen aus datenschutzrechtlicher Sicht Bedenken. Diese Punkte werden im folgenden Kapitel der vorliegenden Stellungnahme erläutert und erörtert.

12.

Die erweiterten Aufgaben der Agentur in Bezug auf die Einbindung der Strafverfolgungs- und Datenschutzbehörden werden in Artikel 3 des Vorschlags nur sehr allgemein beschrieben. Konkretere Angaben hierzu sind in der Begründung enthalten. Darin heißt es, dass die ENISA als Schnittstelle zu den für Cyberkriminalität zuständigen Strafverfolgungsbehörden fungiert und nicht operative Aufgaben bei der Bekämpfung der Cyberkriminalität wahrnimmt. In Artikel 3 sind diese Aufgaben jedoch nicht aufgeführt oder werden nur in sehr allgemeiner Form erwähnt.

13.

Im Interesse der Rechtssicherheit sollten die Aufgaben der ENISA in der vorgeschlagenen Verordnung klar und eindeutig festgelegt werden. Wie bereits erwähnt, ist die Sicherheit der Datenverarbeitung ein wichtiges Element des Datenschutzes. Die ENISA wird in diesem Bereich zukünftig eine noch wichtigere Rolle als bisher spielen. Es sollte für die Bürger ebenso wie für Organe und Einrichtungen klar erkennbar sein, welche Aufgaben in den Tätigkeitsbereich der ENISA fallen. Sollte die Ausweitung der Aufgaben der ENISA auch die Verarbeitung personenbezogener Daten einschließen (siehe Ziffern 17-20 weiter unten), wird dieser Aspekt umso wichtiger werden.

14.

Nach Artikel 3 Absatz 1 Buchstabe k des Vorschlags nimmt die Agentur Aufgaben wahr, die ihr durch Rechtsakte der Union übertragen werden. Der EDSB äußert Bedenken im Hinblick auf diese offene Klausel, durch die eine potenzielle Lücke entsteht, die die Kohärenz des Rechtsinstruments beeinträchtigen und zu einer schleichenden Ausweitung der Zweckbestimmung (function creep) der Agentur führen könnte.

15.

Eine Aufgabe, die in Artikel 3 Absatz 1 Buchstabe k des Vorschlags genannt wird, ist in der Richtlinie 2002/58/EG (10) enthalten. Nach dieser Richtlinie ist die Kommission verpflichtet, die Agentur bei technischen Durchführungsmaßnahmen zu konsultieren, die im Zusammenhang mit Meldungen von Verletzungen des Schutzes personenbezogener Daten angewandt werden. Der EDSB empfiehlt, diese Tätigkeit der Agentur ausführlicher zu erläutern und auf den Sicherheitsbereich zu beschränken. Angesichts des potenziellen Einflusses der ENISA auf die Politikgestaltung in diesem Bereich sollte diese Tätigkeit in der vorgeschlagenen Verordnung klarer formuliert und stärker hervorgehoben werden.

16.

Im Hinblick auf die in Artikel 3 Absatz 1 Buchstabe c des aktuellen Vorschlags aufgeführte spezielle Aufgabe der ENISA, die Mitgliedstaaten und die europäischen Organe und Einrichtungen bei deren Bemühungen um die Sammlung, Auswertung und Verarbeitung von Daten über die Netz- und Informationssicherheit zu unterstützen, empfiehlt der EDSB zudem, im Erwägungsgrund 21 auf die Richtlinie 1999/5/EG (11) zu verweisen. Damit können die Maßnahmen der ENISA zur Förderung bewährter Verfahren und Methoden im Bereich der Netz- und Informationssicherheit (NIS) vorangetrieben werden, da auf diese Weise die Möglichkeiten für eine konstruktive Zusammenarbeit zwischen der Agentur und den Normungsgremien besser aufgezeigt werden können.

17.

Im Vorschlag wird nicht angegeben, ob die Aufgaben der Agentur die Verarbeitung personenbezogener Daten einschließen können. Daher beinhaltet der Vorschlag keine spezifische Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Sinne von Artikel 5 der Verordnung (EG) Nr. 45/2001.

18.

Einige Aufgaben, die in die Zuständigkeit der Agentur fallen, können jedoch (zumindest in gewissem Umfang) die Verarbeitung personenbezogener Daten beinhalten. Es ist beispielsweise nicht ausgeschlossen, dass die Untersuchung von Verstößen gegen Sicherheitsvorschriften und Verletzungen des Schutzes personenbezogener Daten oder die Wahrnehmung nicht operativer Funktionen bei der Bekämpfung der Cyberkriminalität die Sammlung und Auswertung personenbezogener Daten erfordert.

19.

In Erwägungsgrund 9 des Vorschlags wird auf die Bestimmungen der Richtlinie 2002/21/EG (12) verwiesen, die vorsehen, dass die Agentur gegebenenfalls von den nationalen Regulierungsbehörden über Sicherheitsverletzungen unterrichtet werden muss. Der EDSB empfiehlt, im Vorschlag ausführlicher zu erläutern, welche Meldungen an die ENISA zu übermitteln sind und was von der ENISA unternommen werden sollte. Außerdem sollte in dem Vorschlag festgelegt werden, welche Regeln für die Verarbeitung personenbezogener Daten gelten, die im Zusammenhang mit der Auswertung dieser Meldungen (gegebenenfalls) durchgeführt wird.

20.

Der EDSB fordert den Gesetzgeber auf, zu klären, ob und, sofern zutreffend, welche der in Artikel 3 genannten Tätigkeiten der ENISA die Verarbeitung personenbezogener Daten beinhalten.

21.

Obwohl die ENISA eine zentrale Rolle in der Diskussion über die Netz- und Informationssicherheit in Europa spielt, wird die Frage der Sicherheitsmaßnahmen, die für die Agentur selbst getroffen werden sollten (in Bezug auf die Verarbeitung personenbezogener Daten oder allgemein), im Vorschlag nur am Rande behandelt.

22.

Nach Ansicht des EDSB kann die Agentur bewährte Verfahren für die Sicherheit der Datenverarbeitung noch besser fördern, wenn sie intern die entsprechenden Maßnahmen wirksam anwendet. Dies wird dazu beitragen, dass die Agentur nicht nur als Fachzentrum, sondern auch als Referenz bei der praktischen Anwendung der besten verfügbaren Techniken (BVT) im Bereich der Sicherheit wahrgenommen wird. Daher sollte die Entwicklung von Fachkompetenz in der Anwendung von Sicherheitspraktiken in die Verordnung über die Arbeitsweise der Agentur einbezogen werden. Vor diesem Hintergrund schlägt der EDSB vor, eine entsprechende Bestimmung in den Vorschlag aufzunehmen, beispielsweise dahingehend, dass die Agentur die besten verfügbaren Techniken, also die wirksamsten und modernsten Sicherheitsverfahren und Arbeitsmethoden, einsetzen muss.

23.

Dieser Ansatz wird es der Agentur ermöglich, Aussagen darüber zu treffen, ob bestimmte technische Verfahren in der Praxis zur Erfüllung von Sicherheitsvorgaben geeignet sind. Darüber hinaus sollten bei der Anwendung dieser BVT diejenigen bevorzugt werden, die die Sicherheit gewährleisten und gleichzeitig den Schutz der Privatsphäre möglichst wenig beeinträchtigen. Es sollten Verfahren ausgewählt werden, die sich stärker am Konzept „Privacy by design“ (eingebauter Datenschutz) orientieren.

24.

Selbst bei einem weniger ehrgeizigen Ansatz empfiehlt der EDSB, zumindest folgende Vorgaben in die Verordnung aufzunehmen: i) Entwicklung einer internen Sicherheitsstrategie auf der Grundlage einer umfassenden Risikobewertung und unter Berücksichtigung internationaler Normen und bewährter Verfahren in den Mitgliedstaaten, ii) Ernennung eines Sicherheitsbeauftragten, der für die Umsetzung dieser Strategie zuständig ist und über die erforderlichen Mittel und Befugnisse verfügt, iii) Genehmigung dieser Strategie nach eingehender Prüfung des verbleibenden Risikos und der vom Verwaltungsrat vorgeschlagenen Kontrollen sowie iv) regelmäßige Überprüfung der Strategie und klare Festlegung der zeitlichen Abstände und der Zielsetzungen der Überprüfung.

25.

Wie bereits erwähnt, begrüßt der EDSB die Verlängerung des Mandats der Agentur und vertritt die Auffassung, dass die Agentur für die Datenschutzbehörden von großem Nutzen sein kann (ebenso wie die Agentur von der Fachkompetenz dieser Behörden profitieren kann). Da naturgemäß und logischerweise eine enge Verbindung zwischen Sicherheit und Datenschutz besteht, sind die Agentur und die Datenschutzbehörden zur intensiven Zusammenarbeit aufgerufen.

26.

In den Erwägungsgründen 24 und 25 wird auf den Vorschlag für eine Richtlinie der EU zur Cyberkriminalität (13) verwiesen und hervorgehoben, dass die Agentur bei den Aspekten der Bekämpfung der Cyberkriminalität, die die Informationssicherheit betreffen, mit den Strafverfolgungs- und Datenschutzbehörden zusammenarbeiten sollte.

27.

Im Vorschlag sollten darüber hinaus konkrete Kanäle und Mechanismen für die Zusammenarbeit angegeben werden, die i) die Abstimmung der Maßnahmen der Agentur und der Datenschutzbehörden sicherstellen und ii) eine enge Zusammenarbeit zwischen der Agentur und den Datenschutzbehörden ermöglichen.

28.

Hinsichtlich der Abstimmung wird in Erwägungsgrund 27 ausdrücklich hervorgehoben, dass bei der Wahrnehmung der Aufgaben der Agentur die Zuständigkeiten der Datenschutzbehörden der Mitgliedstaaten nicht beeinträchtigt werden sollten. Der EDSB begrüßt diesen Hinweis, merkt jedoch an, dass dabei weder der EDSB noch die Arbeitsgruppe „Artikel 29“ erwähnt wird. Der EDSB fordert den Gesetzgeber auf, auch in Bezug auf diese beiden Einrichtungen eine ähnliche Bestimmung in den Vorschlag aufzunehmen. Damit wird ein klarer Rahmen für die Arbeit aller Parteien vorgegeben und es werden die Kanäle und Mechanismen festgelegt, über die die Agentur die einzelnen Datenschutzbehörden sowie die Arbeitsgruppe „Artikel 29“ unterstützen kann.

29.

Im Hinblick auf die enge Zusammenarbeit begrüßt der EDSB daher die Aufnahme von Vertretern der Datenschutzbehörden in die Ständige Gruppe der Interessenvertreter, die die Agentur bei ihrer Tätigkeit unterstützt. Er schlägt vor, ausdrücklich zu erwähnen, dass diese Vertreter der nationalen Datenschutzbehörden auf der Grundlage eines Vorschlags der Arbeitsgruppe „Artikel 29“ von der Agentur ernannt werden. Begrüßenswert wäre außerdem ein Hinweis darauf, dass der EDSB an diesen Sitzungen teilnehmen kann, wenn dort Fragen, die für die Zusammenarbeit mit dem EDSB von Bedeutung sind, behandelt werden. Des Weiteren empfiehlt der EDSB, dass die Agentur (mit Unterstützung der Ständigen Gruppe der Interessenvertreter und nach Zustimmung durch den Verwaltungsrat) Ad-hoc-Arbeitsgruppen zu den Themen einrichtet, bei denen sich Datenschutz und Sicherheit überschneiden, um diese enge Zusammenarbeit praktisch umzusetzen.

30.

Abschließend empfiehlt der EDSB zur Vermeidung etwaiger Missverständnisse, den Begriff „Datenschutzbehörden“ zu verwenden und durch die Aufnahme eines Verweises auf Artikel 28 der Richtlinie 95/46/EG und Kapitel V der Verordnung (EG) Nr. 45/2001 zum EDSB klarzustellen, um welche Behörden es sich dabei handelt.

31.

Der EDSB stellt fest, dass die vorgeschlagene Verordnung widersprüchliche Angaben im Hinblick auf die Akteure enthält, die die ENISA um Unterstützung ersuchen können. Aus den Erwägungsgründen 7, 15, 16, 18 und 36 des Vorschlags geht hervor, dass die ENISA Einrichtungen der Mitgliedstaaten und die Union als Ganzes unterstützen kann. In Artikel 2 Absatz 1 werden jedoch lediglich die Kommission und die Mitgliedstaaten genannt, während nach Artikel 14 nur die nachfolgend aufgeführten Einrichtungen berechtigt sind, ein Ersuchen an die Agentur zu richten: i) das Europäische Parlament, ii) der Rat, iii) die Kommission und iv) die von einem Mitgliedstaat benannte zuständige Stelle. Für andere Organe, Einrichtungen, dezentrale Einrichtungen und Dienststellen der Union gilt dies nicht.

32.

Artikel 3 des Vorschlags enthält hierzu genauere Angaben und sieht verschiedene Arten der Unterstützung für unterschiedliche Stellen vor: i) Sammlung und Auswertung von Daten über die Netz- und Informationssicherheit (Unterstützung der Mitgliedstaaten und der europäischen Organe und Einrichtungen), ii) Bewertung des Stands der Netz- und Informationssicherheit in Europa (Unterstützung der Mitgliedstaaten und der europäischen Organe), iii) Förderung der Anwendung von bewährten Praktiken für das Risikomanagement und die Sicherheit (Unterstützung der Union und der Mitgliedstaaten), iv) Aufbau von Erkennungsfähigkeiten im Bereich der Netz- und Informationssicherheit (Unterstützung europäischer Organe und Einrichtungen) und v) Zusammenarbeit und Dialog mit Drittländern (Unterstützung der Union).

33.

Der EDSB fordert daher den Gesetzgeber auf, diese mangelnde Einheitlichkeit zu beseitigen und die oben genannten Bestimmungen anzupassen. In diesem Zusammenhang empfiehlt der EDSB, Artikel 14 so zu ändern, dass alle Organe, Einrichtungen, dezentralen Einrichtungen und Dienststellen der Union eingeschlossen sind und die Art der Unterstützung genau beschrieben wird, um die die verschiedenen Stellen innerhalb der Union (sofern diese Differenzierung vom Gesetzgeber vorgesehen ist) ersuchen können. Außerdem wird empfohlen, bestimmten öffentlichen und privaten Einrichtungen Unterstützungsersuchen an die Agentur zu ermöglichen, wenn die benötigte Unterstützung auch für andere Akteure auf europäischer Ebene relevant ist und im Einklang mit den Zielen der Agentur steht.

34.

In der Begründung des Vorschlags wird erläutert, dass die Kompetenzen des Verwaltungsrats im Hinblick auf seine Aufsichtsfunktion gestärkt werden sollen. Der EDSB begrüßt dies und empfiehlt, bestimmte datenschutzrelevante Aspekte in die Funktionen des Verwaltungsrats aufzunehmen. Darüber hinaus regt der EDSB an, in der Verordnung klar festzulegen, wer berechtigt ist, i) Maßnahmen für die Anwendung der Verordnung (EG) Nr. 45/2001 durch die Agentur, einschließlich der Maßnahmen betreffend die Ernennung eines behördlichen Datenschutzbeauftragten, festzulegen, ii) die Sicherheitsstrategie und deren regelmäßige Überprüfung zu genehmigen und iii) den Rahmen für die Zusammenarbeit mit Datenschutz- und Strafverfolgungsbehörden vorzugeben.

35.

Obwohl dies bereits in der Verordnung (EG) Nr. 45/2001 vorgeschrieben ist, empfiehlt der EDSB, in Artikel 27 die Ernennung des behördlichen Datenschutzbeauftragen aufzunehmen, da diese von besonderer Bedeutung ist und unverzüglich von der Festlegung der Durchführungsbestimmungen hinsichtlich des Umfangs der Befugnisse und Aufgaben des behördlichen Datenschutzbeauftragten in Übereinstimmung mit Artikel 24 Absatz 8 der Verordnung (EG) Nr. 45/2001 begleitet werden sollte. Konkret könnte Artikel 27 wie folgt lauten:

36.

Sofern eine spezielle Rechtsgrundlage für die Verarbeitung personenbezogener Daten erforderlich ist, wie unter den Ziffern 17-20 oben erörtert, sollte diese darüber hinaus Bestimmungen im Hinblick auf die notwendigen und angemessenen Garantien, Beschränkungen und Bedingungen enthalten, unter denen eine solche Verarbeitung von personenbezogenen Daten stattfinden würde.

37.

Insgesamt wird der Vorschlag positiv beurteilt und der EDSB begrüßt die Verlängerung des Mandats der Agentur ebenso wie die Ausweitung ihrer Aufgaben durch die Einbindung der Datenschutz- und Strafverfolgungsbehörden als vollwertige Akteure. Der EDSB vertritt die Auffassung, dass das Weiterbestehen der Agentur auf europäischer Ebene eine kompetente und effiziente Steuerung von Sicherheitsmaßnahmen für Informationssysteme fördern wird.

38.

Im Interesse der Rechtssicherheit empfiehlt der EDSB, dass im Vorschlag detaillierte Angaben zur Ausweitung des Aufgabenbereichs der Agentur und insbesondere zu den Aufgaben gemacht werden, die die Einbindung der Strafverfolgungs- und Datenschutzbehörden betreffen. Außerdem verweist der EDSB auf die potenzielle Lücke, die durch die Aufnahme einer Bestimmung in den Vorschlag entsteht, die ohne zusätzliche Einschränkung die Übertragung neuer Aufgaben an die Agentur durch andere Rechtsakte der Union ermöglichen würde.

39.

Der EDSB fordert den Gesetzgeber auf, zu klären, ob und, sofern zutreffend, welche Tätigkeiten der ENISA die Verarbeitung personenbezogener Daten beinhalten.

40.

Der EDSB empfiehlt die Aufnahme von Bestimmungen über die Festlegung einer internen Sicherheitsstrategie für die Agentur, um die Rolle der Agentur als kompetenter Ansprechpartner für die Anwendung von Sicherheitspraktiken und bei der Förderung des eingebauten Datenschutzes durch die Integration der Anwendung der besten verfügbaren Techniken im Sicherheitsbereich und der Achtung der Rechte in Bezug auf den Schutz personenbezogener Daten zu stärken.

41.

Es sollte genauer definiert werden, über welche Kanäle die Zusammenarbeit mit Datenschutzbehörden, einschließlich des EDSB und der Arbeitsgruppe „Artikel 29“, erfolgt, um eine einheitliche Vorgehensweise und eine enge Zusammenarbeit sicherzustellen.

42.

Der EDSB fordert den Gesetzgeber auf, die Widersprüche hinsichtlich der aus Artikel 14 resultierenden Beschränkung auf bestimmte Akteure, die zu einem Unterstützungsersuchen an die Agentur berechtigt sind, zu beseitigen. Insbesondere empfiehlt der EDSB, dass diese Beschränkung aufgehoben wird und alle Organe, Einrichtungen, dezentralen Einrichtungen und Dienststellen der Union die Möglichkeit erhalten, die Agentur um Unterstützung zu ersuchen.

43.

Abschließend empfiehlt der EDSB, die erweiterten Kompetenzen des Verwaltungsrats um einige konkrete Aspekte zu ergänzen, die die Gewähr, dass in der Agentur bewährte Verfahren im Bereich der Sicherheit und des Datenschutzes angewandt werden, verbessern können. Unter anderem wird die Aufnahme der Ernennung des behördlichen Datenschutzbeauftragten und der Genehmigung der Maßnahmen für die korrekte Anwendung der Verordnung (EG) Nr. 45/2001 vorgeschlagen.