23.9.2011   

DE

Amtsblatt der Europäischen Union

C 279/20

1.

Am 8. Dezember 2010 nahm die Europäische Kommission einen Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Integrität und Transparenz des Energiemarkts (3) („Vorschlag“) an.

2.

Die Kommission konsultierte den EDSB hierzu nicht, obwohl dies nach Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 erforderlich gewesen wäre. Der EDSB nimmt daher von sich aus diese Stellungnahme gestützt auf Artikel 41 Absatz 2 dieser Verordnung an. Der EDSB ist sich der Tatsache bewusst, dass sein Rat erst relativ spät im Gesetzgebungsverfahren erteilt wird. Dessen ungeachtet hält er diese Stellungnahme in Anbetracht der potenziellen erheblichen Auswirkungen des Vorschlags auf das Recht auf den Schutz der Privatsphäre und auf Datenschutz für angemessen und sinnvoll. Die Stellungnahme sollte in der Präambel des Vorschlags erwähnt werden.

3.

Hauptziel des Vorschlags ist es, Marktmanipulation und Insider-Handel auf Großhandelsenergiemärkten (Gas und Strom) zu verhindern. Integrität und Transparenz auf Großhandelsmärkten, auf denen Gas und Strom zwischen Energieerzeugern und Händlern gehandelt werden, spielen eine Schlüsselrolle für den Preis, den die Verbraucher letztendlich zu bezahlen haben.

4.

Zu diesem Zweck soll mit dem Vorschlag ein umfassendes Regelwerk auf EU-Ebene geschaffen werden, das verhindert, dass Händler Insider-Informationen zu ihrem eigenen Vorteil verwenden und den Markt manipulieren, indem sie künstlich für ein höheres Preisniveau sorgen, als es durch die Verfügbarkeit, die Kosten der Produktion, die Speicherungs- oder Transportkapazität von Energie gerechtfertigt ist. Die vorgeschlagenen Bestimmungen verbieten insbesondere Folgendes:

5.

Die Marktüberwachung auf europäischer Ebene, mit der mögliche Verstöße gegen diese Verbote aufgedeckt werden sollen, obliegt der Europäischen Agentur für die Zusammenarbeit der Energieregulierungsbehörden (ACER) („Agentur“) (4).

6.

Der Vorschlag sieht vor, dass die Agentur zeitnahen Zugang zu Informationen über Transaktionen auf den Energiegroßmärkten erhält. Dazu gehören Informationen über Preise, verkaufte Mengen und beteiligte Parteien. Diese Massendaten werden auch an die nationalen Regulierungsbehörden weitergegeben, die dann für die Untersuchung mutmaßlicher Missbrauchsfälle verantwortlich sind. In Fällen mit grenzüberschreitenden Auswirkungen ist die Agentur zur Koordinierung der Untersuchungen befugt. Die nationalen Regulierungsbehörden in den Mitgliedstaaten vollstrecken Sanktionen.

7.

Der Vorschlag schließt an eine Reihe von Gesetzgebungsvorschlägen aus der jüngeren Vergangenheit an, mit denen die bestehende Finanzaufsicht gestärkt und die Koordinierung und Zusammenarbeit auf EU-Ebene verbessert werden sollen; dazu gehören die Richtlinie über Insider-Geschäfte und Marktmanipulation („MAD“) (5), und die Richtlinie über Märkte für Finanzinstrumente („MiFID“) (6). Erst kürzlich äußerte sich der EDSB zu einem weiteren Vorschlag aus der jüngeren Vergangenheit (7).

8.

Der Vorschlag enthält mehrere Bestimmungen, die für den Schutz personenbezogener Daten relevant sind.

9.

Der Vorschlag geht von der Prämisse aus, dass zur Aufdeckung von Marktmissbrauch i) eine wirksam funktionierende Marktüberwachung mit zeitnahem Zugang zu vollständigen Transaktionsdaten erforderlich ist und dass ii) hierzu eine Marktüberwachung auf EU-Ebene notwendig ist. Der Verordnungsvorschlag sieht daher vor, dass die Agentur große Mengen an Massendaten auf den Energiegroßhandelsmärkten erhebt, überprüft und (mit den einschlägigen nationalen und EU-Behörden) austauscht.

10.

Die vorgeschlagene Verordnung verlangt von den Marktteilnehmern insbesondere, der Agentur „Aufzeichnungen ihrer Transaktionen“ mit Energiegroßhandelsprodukten zur Verfügung zu stellen. Neben den Transaktionsaufzeichnungen sollen die Marktteilnehmer der Agentur noch Angaben zur „Kapazität von Anlagen zur Produktion, zur Speicherung, zum Verbrauch und zum Transport von Strom oder Erdgas“ machen.

11.

Form, Inhalt und Zeitpunkt dieser Informationsübermittlung sollen in delegierten Rechtsakten der Kommission geregelt werden.

12.

In Anbetracht der Tatsache, dass es der Vorschlag den delegierten Rechtsakten überlässt, den Inhalt der Informationen festzulegen, die im Rahmen der Überwachung und der Meldepflichten erhoben werden sollen, kann nicht ausgeschlossen werden, dass auch personenbezogene Daten — d. h. alle Informationen über eine bestimmte oder bestimmbare natürliche Person (8) — betroffen sein werden. Nach geltendem EU-Recht ist dies nur zulässig, soweit dies erforderlich und im Hinblick auf den verfolgten Zweck verhältnismäßig ist (9). Der Verordnungsvorschlag sollte daher deutlich machen, ob und in welchem Umfang die zu Überwachungszwecken verlangten Transaktionsaufzeichnungen und Kapazitätsinformationen personenbezogene Daten enthalten können (10).

13.

Ist eine Verarbeitung personenbezogener Daten vorgesehen, könnten besondere Garantien — beispielsweise bezüglich der Zweckbindung, der Aufbewahrungsfrist oder potenzieller Empfänger der Daten — erforderlich sein. In Anbetracht ihrer grundlegenden Bedeutung sollten diese datenschutzrechtlichen Garantien ihren Platz im Wortlaut der vorgeschlagenen Verordnung und nicht in delegierten Rechtsakten haben.

14.

Ist hingegen keine Verarbeitung personenbezogener Daten zu erwarten (oder fände eine solche Verarbeitung nur ausnahmsweise statt und wäre auf seltene Fälle beschränkt, in denen ein im Energiegroßhandel tätiger Händler eine natürliche und keine juristische Person ist), sollte dies im Vorschlag zumindest in einem Erwägungsgrund klar zum Ausdruck gebracht werden.

15.

Gemäß Artikel 9 Absatz 1 „gewährleistet (die Agentur) Vertraulichkeit, Integrität und Schutz“ der gemäß Artikel 7 eingegangenen Informationen (also der Transaktionsaufzeichnungen und der Kapazitätsinformationen, die im Rahmen der Marktüberwachung erhoben werden). Artikel 9 sieht ferner vor, dass die Agentur „erforderlichenfalls“ bei der Verarbeitung personenbezogener Daten nach Artikel 7 die Verordnung (EG) Nr. 45/2001 „einhalten (wird)“.

16.

Darüber hinaus verlangt Artikel 9 Absatz 1 von der Agentur, „Quellen betriebstechnischer Risiken“ zu ermitteln und „diese Risiken durch Entwicklung geeigneter Systeme, Kontrollen und Verfahren“ zu minimieren.

17.

Schließlich kann die Agentur gemäß Artikel 9 Absatz 2 beschließen, Teile der Informationen, über die sie verfügt, öffentlich zugänglich zu machen, „vorausgesetzt, es werden keine wirtschaftlich sensiblen Daten über einzelne Marktteilnehmer oder einzelne Transaktionen preisgegeben“.

18.

Der EDSB begrüßt, dass sich Artikel 9 teilweise mit dem Datenschutz befasst und der Verordnungsvorschlag von der Agentur ausdrücklich verlangt, die Verordnung (EG) Nr. 45/2001 einzuhalten.

19.

Der EDSB unterstreicht daher nachdrücklich, dass die Verordnung (EG) Nr. 45/2001 für die Agentur in vollem Umfang gilt, wann immer personenbezogene Daten verarbeitet werden. Der Vorschlag sollte deshalb in Erinnerung rufen, dass die Verordnung (EG) Nr. 45/2001 für die Agentur nicht nur bei der Verarbeitung von Daten nach Artikel 7, sondern auch in allen anderen Situationen gilt. Wichtig ist, dass sie auch anzuwenden ist, wenn die Agentur personenbezogene Daten in Zusammenhang mit einem Verdacht auf Marktmissbrauch/mutmaßlichen Verstößen nach Artikel 11 verarbeitet. Um dies noch deutlicher zu machen, empfiehlt der EDSB, zur Beschreibung von Situationen, in denen die Agentur die Verordnung (EG) Nr. 45/2001 einzuhalten hat, nicht den Ausdruck „erforderlichenfalls“ zu verwenden, sondern „sobald personenbezogene Daten verarbeitet werden“.

20.

Es sollte auch ein Hinweis auf die Richtlinie 95/46/EG erfolgen, da diese Richtlinie auf die Verarbeitung personenbezogener Daten durch die entsprechenden nationalen Regulierungsbehörden anzuwenden ist. Der Klarheit halber empfiehlt der EDSB daher, im Verordnungsentwurf ganz allgemein (zumindest in einem Erwägungsgrund) zu besagen, dass die Agentur zwar der Verordnung (EG) Nr. 45/2001 unterliegt, dass aber die Richtlinie 95/46/EG für die betreffenden nationalen Regulierungsbehörden gilt.

21.

Der EDSB begrüßt, dass von der Agentur verlangt wird, betriebstechnische Risiken zu ermitteln und sie durch die Entwicklung geeigneter Systeme, Kontrollen und Verfahren zu minimieren. Zur Stärkung des Grundsatzes der Rechenschaftspflicht (11) sollte die vorgeschlagene Verordnung, falls die Verarbeitung personenbezogener Daten eine strukturelle Rolle spielen sollte, ausdrücklich fordern, dass die Agentur einen klaren Rahmen für die Rechenschaftspflicht schafft, der die Einhaltung der Datenschutzvorschriften gewährleistet und entsprechende Beweise erbringt. Ein solcher von der Agentur klar abgesteckter Rahmen könnte unter anderem folgende Elemente enthalten:

22.

Gleichwertige Anforderungen sollten auch an die nationalen Regulierungsbehörden und andere betroffene EU-Behörden gestellt werden.

23.

Im Hinblick auf Artikel 9 Absatz 2, demzufolge die Agentur beschließen kann, Teile der Information, über die sie verfügt, öffentlich zugänglich zu machen, geht der EDSB davon aus, dass das Ziel dieser Bestimmung nicht darin besteht, die Agentur zu ermächtigen, Daten zu veröffentlichen, um Unternehmen oder natürliche Personen „an den Pranger zu stellen“ und ihr Fehlverhalten öffentlich bekannt zu machen.

24.

Der Vorschlag schweigt sich jedoch zu der Frage aus, ob irgendwelche Absichten bestehen, personenbezogene Daten öffentlich zugänglich zu machen. Um jeglichen Zweifel auszuräumen, sollte der Vorschlag entweder ausdrücklich vorsehen, dass die veröffentlichten Informationen keine personenbezogenen Daten enthalten dürfen, oder er sollte klarstellen, welche personenbezogenen Daten gegebenenfalls offengelegt werden dürfen.

25.

Falls personenbezogene Daten öffentlich zugänglich gemacht werden sollen, ist der Bedarf an einer Offenlegung (z. B. aus Transparenzgründen) sorgfältig zu prüfen und gegen andere, konkurrierende Anliegen abzuwägen, wie die Notwendigkeit, das Recht der betroffenen Person auf Schutz ihrer Privatsphäre und ihrer personenbezogenen Daten zu schützen.

26.

Dementsprechend ist vor einer Offenlegung die Verhältnismäßigkeit zu beurteilen, wobei die vom Europäischen Gerichtshof im Urteil Schecke aufgestellten Kriterien zu berücksichtigen sind (13). In dieser Rechtssache betonte der EuGH, dass sich Ausnahmen und Beschränkungen in Bezug auf den Schutz personenbezogener Daten auf das absolut Notwendige beschränken müssen. Der EuGH vertrat ferner die Auffassung, die europäischen Organe sollten andere Modalitäten der Veröffentlichung erkunden, die im Einklang mit dem Zweck einer solchen Veröffentlichung stehen, zugleich aber auch in das Recht der betroffenen Personen auf Achtung ihres Privatlebens und auf Schutz ihrer personenbezogenen Daten weniger stark eingreifen.

27.

Der Vorschlag sieht vor, dass sich bei Verdacht auf Marktmissbrauch an die Marktüberwachung eine Untersuchung anschließt, die zu angemessenen Sanktionen führen kann. Artikel 10 Absatz 1 fordert insbesondere von den Mitgliedstaaten, sicherzustellen, dass die nationalen Regulierungsbehörden mit den notwendigen Untersuchungsbefugnissen ausgestattet sind, um für die Anwendung der Bestimmungen der Verordnung über Insider-Handel und Marktmanipulation zu sorgen (14).

28.

Der EDSB begrüßt die Aussage in Artikel 10 Absatz 1, dass i) die Untersuchungsbefugnisse (nur) ausgeübt werden dürfen, um dafür zu sorgen, dass die Bestimmungen der Verordnung über Insider-Handel und Marktmanipulation (Artikel 3 und 4) angewandt werden, und dass ii) diese Befugnisse in verhältnismäßiger Weise ausgeübt werden.

29.

Der Vorschlag sollte jedoch einen Schritt weiter gehen, um Rechtssicherheit und ein angemessenes Niveau des Schutzes personenbezogener Daten zu gewährleisten. Wie nachstehend noch näher erläutert wird, stellen sich in Zusammenhang mit dem vorgeschlagenen Wortlaut von Artikel 10 zwei Probleme. Zum einen bestimmt Artikel 10 nicht ausreichend klar den Umfang der Untersuchungsbefugnisse; so wird beispielsweise nicht hinreichend deutlich, ob Aufzeichnungen privater Telefongespräche angefordert oder ob in einer Privatwohnung Ermittlungen vor Ort durchgeführt werden dürfen. Zum anderen sieht Artikel 10 auch nicht die erforderlichen Verfahrensgarantien gegen das Risiko eines unberechtigten Eindringens in die Privatsphäre oder den Missbrauch personenbezogener Daten vor; so wird beispielsweise keine gerichtliche Anordnung verlangt.

30.

Sowohl der Umfang der Untersuchungsbefugnisse als auch die notwendigen Garantien sollen vermutlich im innerstaatlichen Recht geregelt werden. Artikel 10 Absatz 1 bietet den Mitgliedstaaten viele Möglichkeiten, denn die Untersuchungsbefugnisse „können a) direkt, b) in Zusammenarbeit mit anderen Behörden oder Marktteilnehmern, oder c) durch Antrag bei den zuständigen Justizbehörden“ ausgeübt werden. Damit sind augenscheinlich divergierende einzelstaatliche Praktiken beispielsweise in der Frage zulässig, ob und unter welchen Bedingungen eine gerichtliche Anordnung erforderlich ist.

31.

Auch wenn in einigen nationalen Rechtsordnungen bereits angemessene Verfahrens- und Datenschutzgarantien bestehen, sollten, wie nachstehend diskutiert, auf EU-Ebene in der vorgeschlagenen Verordnung im Sinne der Rechtssicherheit für betroffene Personen bestimmte Klarstellungen erfolgen und bestimmte Mindestanforderungen bezüglich der Verfahrens- und Datenschutzgarantien formuliert werden.

32.

Grundsätzlich unterstreicht der EDSB Folgendes: Wenn EU-Rechtsvorschriften von den Mitgliedstaaten Maßnahmen auf nationaler Ebene fordern, die sich auf die Grundrechte (wie das Recht auf den Schutz der Privatsphäre und auf den Schutz personenbezogener Daten) auswirken, sollten diese Rechtsvorschriften auch wirksame Maßnahmen fordern, die zeitgleich mit den restriktiven Maßnahmen zu ergreifen sind, um den Schutz der betreffenden Grundrechte zu gewährleisten. Oder anders ausgedrückt: Parallel zur Harmonisierung von Maßnahmen, die einen potenziellen Eingriff in die Privatsphäre darstellen, wie etwa Untersuchungsbefugnisse, sollte, gestützt auf bewährte Verfahren, eine Harmonisierung angemessener Verfahrens- und Datenschutzgarantien stattfinden.

33.

Mit einer solchen Vorgehensweise sollten sich allzu große Unterschiede auf nationaler Ebene vermeiden und ein höheres und einheitlicheres Niveau des Schutzes personenbezogener Daten in der gesamten Europäischen Union erreichen lassen.

34.

Sollte eine Harmonisierung der Mindestgarantien derzeit nicht realisierbar sein, empfiehlt der EDSB zumindest, dass der Verordnungsvorschlag von den Mitgliedstaaten ausdrücklich fordern sollte, nationale Durchführungsbestimmungen zu erlassen, um die notwendigen Verfahrens- und Datenschutzgarantien zu gewährleisten. Dies ist umso wichtiger, als das gewählte Rechtsinstrument eine Verordnung ist, die unmittelbar gilt und im Allgemeinen nicht zwangsläufig weitere Umsetzungsmaßnahmen in den Mitgliedstaaten erfordert.

35.

Dem Vorschlag zufolge umfassen die den nationalen Regulierungsbehörden einzuräumenden Untersuchungsbefugnisse auch die Befugnis, Ermittlungen vor Ort durchzuführen (Artikel 10 Absatz 2 Buchstabe c).

36.

Es ist nicht klar, ob diese Ermittlungen auf den geschäftlichen Besitz eines Marktteilnehmers (Räumlichkeiten, Land und Fahrzeuge) beschränkt bleiben oder ob sie auch im privaten Besitz (Räumlichkeiten, Land oder Fahrzeuge) einer natürlichen Person vorgenommen werden könnten. Ebenso unklar ist, ob die Ermittlungen auch ohne vorherige Warnung durchgeführt werden können („Razzien bei Morgengrauen“).

37.

Sollte die Kommission ins Auge fassen, von den Mitgliedstaaten die Genehmigung für die Regulierungsbehörden zur Durchführung von Ermittlungen vor Ort im Privateigentum natürlicher Personen oder von Razzien zu fordern, sollte dies zunächst einmal klar zum Ausdruck gebracht werden.

38.

Zweitens unterstreicht der EDSB, dass die Verhältnismäßigkeit von Ermittlungen vor Ort in einem Privatbesitz (wie in Privatwohnungen natürlicher Personen) keineswegs auf der Hand liegt und, sollten sie vorgesehen sein, besonders zu begründen sind.

39.

Drittens wären für diesen Fall zusätzliche Garantien erforderlich, insbesondere im Hinblick auf die Bedingungen, unter denen solche Ermittlungen durchgeführt werden dürfen. So sollte beispielsweise — aber ohne Beschränkung hierauf — im Vorschlag geregelt sein, dass Ermittlungen vor Ort in der Wohnung einer Person nur dann durchgeführt werden dürfen, wenn ein bestimmter begründeter Verdacht besteht, dass in dieser Wohnung Beweismittel aufbewahrt werden, die in Zusammenhang mit einem schweren Verstoß gegen Artikel 3 oder 4 der Verordnung (also gegen die Bestimmungen über Insider-Handel und Markmanipulation) von Bedeutung sind. Wichtig wäre auch, dass der Vorschlag eine gerichtliche Anordnung in allen Mitgliedstaaten verlangt (15).

40.

Viertens sollten um der Verhältnismäßigkeit willen und zur Vermeidung übermäßiger Eingriffe in das Privatleben unangekündigte Ermittlungen in Privatwohnungen nur unter der zusätzlichen Bedingung stattfinden können, dass bei einem angekündigten Besuch Beweismittel wahrscheinlich vernichtet oder manipuliert würden. Dies sollte in der vorgeschlagenen Verordnung eindeutig geregelt werden.

41.

Artikel 10 Absatz 2 Buchstabe d fordert, dass die Befugnisse der nationalen Regulierungsbehörden ausdrücklich auch die Befugnis umfassen, „bereits existierende Aufzeichnungen von Telefongesprächen und Datenübermittlungen anzufordern“.

42.

Der EDSB erkennt den Wert von Aufzeichnungen von Telefongesprächen und Datenübermittlungen in Fällen von Insider-Handel, insbesondere im Hinblick auf die Herstellung einer Verbindung zwischen Insidern und Händlern, an. Allerdings ist der Anwendungsbereich dieser Befugnis nicht hinreichend klar und ferner fehlen angemessene Verfahrens- und Datenschutzgarantien. Der EDSB empfiehlt daher, den Vorschlag in der nachstehend diskutierten Weise klarer zu formulieren. Es sollten insbesondere folgende Fragen behandelt werden:

43.

Im Sinne der Rechtssicherheit sollte der Vorschlag zunächst einmal klarstellen, welche Arten von Aufzeichnungen erforderlichenfalls von den Behörden angefordert werden können.

44.

Der Vorschlag sollte den Anwendungsbereich der Untersuchungsbefugnisse ausdrücklich begrenzen auf i) die Inhalte von Aufzeichnungen von Telefongesprächen, E-Mails und anderen Datenübermittlungen, die bereits routinemäßig und rechtmäßig aus geschäftlichen Gründen von Händlern als Nachweis von Transaktionen vorgenommen werden, und auf ii) Verkehrsdaten (z. B. wer tätigte den Anruf oder übermittelte Daten, an wen und wann), die bereits bei den betreffenden Marktteilnehmern (Händlern) unmittelbar erhältlich sind.

45.

Des Weiteren sollte im Vorschlag deutlich gemacht werden, dass die Aufzeichnungen zu einem rechtmäßigen Zweck und im Einklang mit den geltenden Datenschutzvorschriften, einschließlich der angemessenen Information der betroffenen Personen gemäß Artikel 10 und 11 der Richtlinie 95/46/EG, erhoben worden sind.

46.

Der EDSB begrüßt, dass der Vorschlag diese Befugnis auf „existierende“ Aufzeichnungen beschränkt und damit keine Befugnisse für die Regulierungsbehörden fordert, mit denen ein Händler oder ein Dritter verpflichtet werden kann, ausdrücklich Telefongespräche oder Datenübermittlungen für die Zwecke der Untersuchung abzufangen, zu überwachen oder aufzuzeichnen.

47.

Um jeglichen Zweifel auszuräumen, sollte diese Absicht zumindest in einem Erwägungsgrund verdeutlicht werden. Es darf kein Spielraum verbleiben, in dem der Vorschlag für eine Verordnung dahingehend ausgelegt werden kann, dass er den nationalen Regulierungsbehörden eine Rechtsgrundlage dafür bietet, verdeckt oder offen mit oder ohne gerichtliche Anordnung Telefongespräche oder Datenübermittlungen abzufangen, zu überwachen oder aufzuzeichnen.

48.

Im Wortlaut des Vorschlags heißt es „existierende Aufzeichnungen von Telefongesprächen und Datenübermittlungen“. Es ist nicht hinreichend klar, ob sowohl die Inhalte existierender Aufzeichnungen von Telefongesprächen und Datenübermittlungen als auch Verkehrsdaten (z. B. wer den Anruf getätigt oder die Datenübermittlung vorgenommen hat, (an) wen und wann) angefordert werden können.

49.

Dies sollte in der vorgeschlagenen Verordnung klarer dargestellt werden. Wie schon in den Punkten 43 bis 45 diskutiert, sollte deutlich angegeben werden, welche Art von Aufzeichnungen angefordert werden kann, und es ist sicherzustellen, dass diese Aufzeichnungen vor allem in Einklang mit den geltenden Datenschutzvorschriften erhoben wurden.

50.

Im Vorschlag sollte unmissverständlich gesagt werden, von wem die nationalen Regulierungsbehörden Aufzeichnungen anfordern dürfen. Nach dem Verständnis des EDSB soll Artikel 10 Absatz 2 Buchstabe d den nationalen Regulierungsbehörden nicht die Möglichkeit einräumen, von Anbietern „öffentlich zugänglicher Kommunikationsdienste“ (16) (wie Telefongesellschaften oder Internet-Diensteanbietern) Verkehrsdaten anzufordern.

51.

Es trifft zu, dass in dem Vorschlag alle diese Anbieter nicht erwähnt werden, und auch der Begriff „Verkehrsdaten“ wird nicht verwendet. Wichtig ist auch, dass weder implizit noch explizit erwähnt wird, dass eine Ausnahme von den Anforderungen der Datenschutzrichtlinie für elektronische Kommunikation (17) angestrebt wird, in der der allgemeine Grundsatz formuliert wird, wonach Verkehrsdaten nur für Gebührenabrechungen und Zahlungen für die Zusammenschaltung weiter verarbeitet werden dürfen.

52.

Um jeglichen Zweifel auszuräumen, empfiehlt der EDSB, im Wortlaut der vorgeschlagenen Verordnung zumindest in einem Erwägungsgrund zu erwähnen, dass der Vorschlag keine Rechtsgrundlage dafür bietet, dass Daten von Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste angefordert werden können.

53.

Im Vorschlag sollte ferner klargestellt werden, ob die nationalen Regulierungsbehörden Aufzeichnungen nur von dem untersuchten Marktteilnehmer anfordern können, oder ob sie auch befugt sind, Aufzeichnungen von Dritten anzufordern (also von einer Partei, die an einer Transaktion des untersuchten Marktteilnehmers beteiligt war, oder einem Hotel, in dem ein des Insider-Handels Verdächtigter gewohnt hat).

54.

Schließlich sollte im Vorschlag noch klargestellt werden, ob die Behörden auch private Aufzeichnungen natürlicher Personen wie Mitarbeiter oder Führungskräfte des untersuchten Marktteilnehmers anfordern können (z. B. Textnachrichten, die von persönlichen mobilen Geräten verschickt wurden, oder die auf einem Privatcomputer gespeicherten Websites, die von diesem Computer aus aufgesucht wurden).

55.

Die Verhältnismäßigkeit der Anforderung privater Aufzeichnungen ist umstritten; sollten solche Anforderungen vorgesehen sein, sind sie besonders zu begründen.

56.

Wie bei den Ermittlungen vor Ort (vgl. Punkte 35 bis 40) sollte der Vorschlag eine gerichtliche Anordnung sowie besondere Garantien fordern, wenn die Behörden private Aufzeichnungen anfordern.

57.

In der grenzüberschreitenden Zusammenarbeit spielt die Agentur eine wichtige Rolle; sie warnt die nationalen Regulierungsbehörden vor potenziellem Marktmissbrauch und unterstützt den Informationsaustausch. Zur Unterstützung der Zusammenarbeit werden die nationalen Regulierungsbehörden in Artikel 11 Absatz 2 ausdrücklich aufgefordert, die Agentur „so genau wie möglich“ zu unterrichten, wenn sie begründeten Anlass zu der Vermutung haben, dass gegen die Verordnung verstoßen wird. Um einen koordinierten Ansatz sicherzustellen, sieht Artikel 11 Absatz 3 ferner vor, dass die nationalen Regulierungsbehörden die zuständigen Finanzbehörden, die Agentur sowie die Europäische Wertpapier- und Marktaufsichtsbehörde („ESMA“) unterrichten (18).

58.

Gemäß dem Grundsatz der Zweckbindung (19), sollte der Vorschlag ausdrücklich vorsehen, dass alle personenbezogenen Daten, die gestützt auf Artikel 11 des Verordnungsvorschlags übermittelt werden (Meldungen von Marktmissbrauch-Verdachtsfällen), nur zum Zweck der Untersuchung des gemeldeten vermutlichen Marktmissbrauchs verwendet werden dürfen. Die Information darf in keinem Fall für Zwecke verwendet werden, die mit diesem Zweck nicht vereinbar sind.

59.

Die Daten sollten auch nicht für lange Zeiträume aufbewahrt werden. Dies trifft noch mehr auf Fälle zu, in denen sich der anfängliche Verdacht als unbegründet erweist. In diesen Fällen muss eine längere Aufbewahrung gesondert begründet werden (20).

60.

Hier sollte der Vorschlag erstens einen Höchstaufbewahrungszeitraum festlegen, in dem die Agentur und andere Empfänger die Daten unter Berücksichtigung des Zwecks der Datenspeicherung speichern dürfen. Falls nicht ein Marktmissbrauchsverdacht zu einer konkreten Untersuchung geführt hat und diese Untersuchung noch andauert, sollten alle personenbezogenen Daten in Zusammenhang mit einem Verdacht auf Marktmissbrauch nach Ablauf eines bestimmten Zeitraums aus den Aufzeichnungen aller Empfänger gelöscht werden. Nach Ansicht des EDSB sollte diese Löschung spätestens zwei Jahre nach dem Datum der Meldung des Verdachtsfalls erfolgen, falls eine längere Aufbewahrungsfrist nicht eindeutig gerechtfertigt ist (21).

61.

Erweist sich ein Verdacht als unbegründet und/oder wird eine Untersuchung ohne weitere Maßnahmen abgeschlossen, sollte der Vorschlag für die meldende Regulierungsbehörde, die Agentur und alle Dritten, die Zugang zu Daten über Marktmissbrauch-Verdachtsfälle haben, die Verpflichtung vorsehen, diese Parteien unverzüglich zu unterrichten, so dass sie ihre eigenen Aufzeichnungen entsprechend aktualisieren können (und/oder die Daten über den gemeldeten Verdachtsfall sofort oder gegebenenfalls nach Ablauf einer verhältnismäßigen Speicherungsfrist aus ihren Aufzeichnungen löschen) (22).

62.

Mit diesen Bestimmungen sollte sichergestellt werden, dass bei nicht bestätigten Verdachtsfällen (oder in Fällen, in denen einem Verdacht gar nicht nachgegangen wurde) oder wenn sich herausgestellt hat, dass ein Verdacht unbegründet ist, Unschuldige nicht für einen ungebührlich langen Zeitraum auf einer Schwarzen Liste verbleiben und unter Verdacht stehen (vgl. Artikel 6 Buchstabe e der Richtlinie 95/46/EG und den entsprechenden Artikel 4 Buchstabe e der Verordnung (EG) Nr. 45/2001).

63.

Die Artikel 7, 8 und 11 des Verordnungsvorschlags befassen sich mit dem Daten- und Informationsaustausch zwischen der Agentur, der ESMA und Behörden der Mitgliedstaaten. Artikel 14 („Beziehungen zu Drittländern“) besagt, dass die Agentur „mit internationalen Organisationen und Behörden aus Drittländern Verwaltungsvereinbarungen schließen kann“. Daraus können sich Datenübermittlungen von der Agentur und möglicherweise auch von der ESMA und/oder von den Behörden der Mitgliedstaaten an internationale Organisationen und Behörden von Drittländern ergeben.

64.

Der EDSB empfiehlt, in Artikel 14 des Vorschlags deutlich zu machen, dass Übermittlungen personenbezogener Daten nur im Einklang mit Artikel 9 der Verordnung (EG) Nr. 45/2001 und mit Artikel 25 und 26 der Richtlinie 95/46/EG erfolgen können. So sollten insbesondere internationale Übermittlungen nur stattfinden, wenn das betreffende Drittland ein angemessenes Schutzniveau bietet; an Unternehmen oder natürliche Personen in einem Drittland, das keinen angemessenen Schutz bietet, können Daten nur übermittelt werden, wenn der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet.

65.

Der EDSB unterstreicht, dass Ausnahmen (wie die in Artikel 9 Absatz 6 der Verordnung (EG) Nr. 45/2001 und in Artikel 26 Absatz 1 der Richtlinie erwähnten) grundsätzlich nicht herangezogen werden sollten, um die Übermittlung von Massen-, System- und/oder Strukturdaten an Drittländer zu rechtfertigen.

66.

Einige der zwischen der Agentur, der ESMA und verschiedenen Behörden der Mitgliedstaaten ausgetauschten Daten zu mutmaßlichen Verstößen können auch personenbezogene Daten wie die Identität des mutmaßlichen Täters oder anderer beteiligter Personen (z. B. Zeugen, Informanten, Beschäftigte oder andere Personen, die für die im Handel tätigen Unternehmen tätig sind) enthalten.

67.

In Artikel 27 Absatz 1 der Verordnung (EG) Nr. 45/2001 ist festgelegt, dass alle „Verarbeitungen, die aufgrund ihres Charakters, ihrer Tragweite oder ihrer Zweckbestimmungen besondere Risiken für die Rechte und Freiheiten der betroffenen Personen beinhalten können“, vom EDSB vorab kontrolliert werden. In Artikel 27 Absatz 2 wird bestätigt, dass die Verarbeitung von Daten in Zusammenhang mit „Verdächtigungen“ und „Straftaten“ solche Risiken beinhaltet und daher einer Vorabkontrolle zu unterziehen ist. In Anbetracht der der Agentur zugedachten Rolle bei der Koordinierung von Untersuchungen ist es durchaus wahrscheinlich, dass sie Daten in Zusammenhang mit „Verdächtigungen” verarbeitet; damit sind ihre Tätigkeiten vorab zu kontrollieren (23).

68.

Im Rahmen einer Vorabkontrolle kann der EDSB der Agentur weitere Hinweise und spezifische Empfehlungen bezüglich der Einhaltung der Datenschutzvorschriften geben. Eine Vorabkontrolle der Tätigkeiten der Agentur kann auch in Anbetracht der Tatsache einen Mehrwert erbringen, dass die Verordnung (EG) Nr. 713/2009 zur Gründung der Agentur keinerlei Verweis auf den Schutz personenbezogener Daten enthält und auch nicht Gegenstand einer Legislativstellungnahme des EDSB war.

69.

Der Vorschlag sollte klarstellen, ob im Zuge der Marktüberwachung und von Meldungen personenbezogene Daten verarbeitet werden und welche Garantien in diesem Zusammenhang gelten. Ist hingegen keine Verarbeitung personenbezogener Daten zu erwarten (oder fände eine solche Verarbeitung nur ausnahmsweise statt und wäre auf seltene Fälle beschränkt, in denen ein im Energiegroßhandel tätiger Händler eine natürliche und keine juristische Person ist), sollte dies im Vorschlag zumindest in einem Erwägungsgrund klar zum Ausdruck gebracht werden.

70.

Die Bestimmungen über Datenschutz, Datensicherheit und Rechenschaftspflicht sind klarer und noch stärker zu formulieren, insbesondere, wenn die Verarbeitung personenbezogener Daten eine eher strukturelle Rolle spielen würde. Die Kommission sollte sicherstellen, dass angemessene Kontrollen der Einhaltung der Datenschutzvorschriften bestehen und hierfür Beweise vorlegen („Rechenschaftspflicht“).

71.

Der Vorschlag sollte klarstellen, ob Ermittlungen vor Ort auf den geschäftlichen Besitz (Räumlichkeiten und Fahrzeuge) eines Marktteilnehmers begrenzt sind oder ob sie sich auch auf den Privatbesitz (Räumlichkeiten oder Fahrzeuge) natürlicher Personen erstrecken. In letzterem Fall sind die Notwendigkeit und Verhältnismäßigkeit dieser Befugnis genau zu begründen und sollten eine gerichtliche Anordnung sowie weitere Garantien gefordert werden. Dies sollte in der vorgeschlagenen Verordnung eindeutig geregelt werden.

72.

Der Anwendungsbereich der Befugnisse zur Anforderung „existierender Aufzeichnungen von Telefongesprächen und Datenübermittlungen“ sollte genauer abgegrenzt werden. Im Vorschlag ist unmissverständlich festzulegen, welche und wessen Aufzeichnungen angefordert werden dürfen. Die Tatsache, dass keine Daten von Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste angefordert werden können, sollte im Wortlaut des Verordnungsvorschlags zumindest in einem Erwägungsgrund ausdrücklich erwähnt werden. Im Vorschlag sollte ferner klargestellt werden, ob die Behörden auch private Aufzeichnungen natürlicher Personen wie Mitarbeiter oder Führungskräfte des untersuchten Marktteilnehmers anfordern können (z. B. Textnachrichten, die von persönlichen mobilen Geräten verschickt wurden, oder die auf einem Privatcomputer gespeicherten Websites, die von diesem Computer aus aufgesucht wurden). Sollte dies der Fall sein, wären die Notwendigkeit und die Verhältnismäßigkeit dieser Befugnis eindeutig zu begründen und der Vorschlag sollte auch eine gerichtliche Anordnung verlangen.

73.

In Zusammenhang mit der Meldung von Marktmissbrauch-Verdachtsfällen sollte der Vorschlag ausdrücklich vorsehen, dass alle personenbezogenen Daten in diesen Meldungen nur für die Untersuchung des gemeldeten Marktmissbrauch-Verdachtsfalls verwendet werden dürfen. Abgesehen von den Fällen, in denen ein mutmaßlicher Marktmissbrauch zu einer konkreten Untersuchung geführt hat und die Untersuchung noch läuft (oder ein Verdacht sich als begründet erwiesen und zu einer erfolgreichen Untersuchung geführt hat), sollten alle personenbezogenen Daten in Zusammenhang mit dem gemeldeten Marktmissbrauch-Verdachtsfall nach Ablauf eines bestimmten Zeitraums aus den Aufzeichnungen aller Empfänger gelöscht werden (sofern nicht anders begründet, spätestens zwei Jahre nach dem Datum der Meldung). Außerdem sollten die an einem Informationsaustausch Beteiligten einander informieren, wenn sich ein Verdacht als unbegründet erweist und/oder eine Untersuchung ohne weitere Maßnahmen abgeschlossen wurde.

74.

Bezüglich der Übermittlung personenbezogener Daten an Drittländer sollte der Vorschlag klarstellen, dass grundsätzlich Übermittlungen an Unternehmen oder natürliche Personen in einem Drittland, das keinen angemessenen Schutz bietet, nur erfolgen können, wenn der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet.

75.

Die Agentur sollte dem EDSB ihre Verarbeitungen personenbezogener Daten in Zusammenhang mit der Koordinierung von Untersuchungen nach Artikel 11 des Vorschlags für eine Verordnung zur Vorabkontrolle vorlegen.