9.2.2012   

DE

Amtsblatt der Europäischen Union

C 35/1

1.

Am 12. Oktober 2011 verabschiedete die Kommission die folgenden Vorschläge (nachstehend: „Vorschläge“) zur Gemeinsamen Agrarpolitik (nachstehend: „GAP“) nach 2013, die dem EDSB am gleichen Tag zur Konsultation gesandt wurden:

2.

Der EDSB begrüßt die Tatsache, dass er formell von der Kommission konsultiert wird und dass eine Bezugnahme auf diese Stellungnahme in die vorgeschlagenen Präambeln der Verordnung über Direktzahlungen, der Verordnung Einheitliche GMO, der Verordnung über die Entwicklung des ländlichen Raums und der horizontalen Verordnung aufgenommen wird.

3.

Die Vorschläge zielen auf die Schaffung eines Rahmens für 1) rentable Nahrungsmittelerzeugung, 2) nachhaltige Bewirtschaftung natürlicher Ressourcen und Klimaschutz und 3) ausgewogene territoriale Entwicklung ab. Zu diesem Zweck legen sie verschiedene Stützungsregelungen für Inhaber landwirtschaftlicher Betriebe sowie Maßnahmen zur Förderung landwirtschaftlicher und ländlicher Entwicklung fest.

4.

Im Zuge dieser Programme werden personenbezogene Daten — hauptsächlich im Zusammenhang mit Beihilfeempfängern, aber auch mit Dritten — in unterschiedlichen Phasen verarbeitet (Verarbeitung von Beihilfeanträgen, Sicherstellung der Transparenz von Zahlungen, Kontrolle und Betrugsbekämpfung, etc.). Obwohl der Großteil der Verarbeitung von den und unter Verantwortung der Mitgliedstaaten durchgeführt wird, ist die Kommission berechtigt, auf diese Daten zuzugreifen. Begünstigte und in einigen Fällen Dritte — zum Beispiel zum Zweck der Betrugsprüfung — müssen den benannten zuständigen Behörden Informationen geben.

5.

Die Bedeutung des Datenschutzes im Kontext der GAP ist vom Gerichtshof in seinem Urteil in der Rechtssache Schecke, das die EU-Gesetzgebung zur Veröffentlichung der Namen der Begünstigten von Mitteln aus den europäischen Landwirtschaftsfonds (10) aufhebt, ans Licht gebracht worden. Der EDSB ist sich bewusst, dass in diesem Fall datenschutzrechtliche Aspekte nicht der Kern der Vorschläge sind. Allerdings sind, insofern als die Vorschläge die Verarbeitung personenbezogener Daten betreffen, konstruktive Kommentare zu geben.

6.

Das Ziel dieser Stellungnahme ist es nicht, das gesamte Paket an Vorschlägen zu analysieren, sondern Input und Beratung zur Gestaltung der Verarbeitung personenbezogener Daten anzubieten, die für die Verwaltung der GAP unter Einhaltung der Grundrechte auf Privatsphäre und Datenschutz notwendig sind, und gleichzeitig eine effiziente Verwaltung der Beihilfen, der Vorbeugung und Untersuchung von Betrug sowie transparente und verantwortliche Ausgabenpolitik gewährleistet.

7.

Dazu ist die Stellungnahme in zwei Hauptteile gegliedert. Ein erster allgemeinerer Teil beinhaltet Analyse und Empfehlungen, die für die meisten der Vorschläge relevant sind. Dies bezieht sich auf Bemerkungen über delegierte und Durchführungsbefugnisse für die Kommission. Ein zweiter Teil erörtert dann besondere Bemerkungen, die in einigen der Vorschläge enthalten sind (11) und gibt Empfehlungen, um die darin ermittelten Probleme zu beheben.

8.

Wie oben erwähnt, werden die meisten Verarbeitungsvorgänge von Mitgliedstaaten durchgeführt. Allerdings kann die Kommission in vielen Fällen Zugriff auf personenbezogene Daten haben. Deshalb begrüßt der EDSB, dass Bezugnahmen auf die Anwendbarkeit der Richtlinie 95/46/EG und der Verordnung (EG) Nr. 45/2001 in die Präambeln der entsprechenden Vorschläge aufgenommen wurden (12).

9.

Im Allgemeinen ist zu beobachten, dass viele zentrale Fragen zum Datenschutz nicht in die aktuellen Vorschläge aufgenommen wurden, aber durch Durchführungs- oder delegierte Rechtsakte geregelt werden. Dies gilt zum Beispiel für Maßnahmen, die hinsichtlich der Überwachung der Beihilfen, der Einrichtung von IT-Systemen, Übermittlungen von Informationen an Drittstaaten und Vor-Ort-Kontrollen zu verabschieden sind (13).

10.

Artikel 290 AEUV legt die Bedingungen für die Ausübung delegierter Befugnisse durch die Kommission fest. Ihr kann die Befugnis „zur Ergänzung oder Änderung bestimmter nicht wesentlicher Vorschriften des Gesetzgebungsaktes“ gegeben werden. Auch sollen „Ziele, Inhalt, Geltungsbereich und Dauer der Befugnisübertragung“ ausdrücklich festgelegt werden. Bezüglich der Durchsetzungsbefugnisse setzt Artikel 291 AEUV fest, dass diese der Kommission gewährt werden können, wenn „es einheitlicher Bedingungen für die Durchführung der verbindlichen Rechtsakte der Union“ bedarf. Angemessene Prüfung durch die Mitgliedstaaten soll gewährleistet werden.

11.

Der EDSB ist der Auffassung, dass die zentralen Aspekte der Verarbeitung, die in den Vorschlägen vorgesehen sind, und die notwendigen Datenschutzgarantien nicht als „nicht wesentliche Vorschriften“ angesehen werden können. Deshalb sollten wenigstens die folgenden Vorschriften schon in den wichtigsten Rechtsvorschriften geregelt werden, um die Rechtssicherheit zu erhöhen (14):

12.

Sobald diese Elemente in den wesentlichen Gesetzgebungsvorschlägen festgelegt sind, können delegierte und Durchsetzungsrechtsakte genutzt werden, um diese besonderen Schutzmaßnahmen detaillierter umzusetzen. Der EDSB erwartet, bezüglich der Durchsetzungs- und delegierten Rechtsakte, die die Belange des Datenschutzes berücksichtigen, konsultiert zu werden.

13.

In einigen Fällen können Daten im Zusammenhang mit (mutmaßlichen) Straftaten verarbeitet werden (z. B. im Zusammenhang mit Betrug). Da die anwendbaren Rechtsvorschriften über Datenschutz den besonderen Schutz solcher Daten vorsieht (17), kann es der Vorabprüfung durch die nationalen Datenschutzbehörden oder den EDSB bedürfen (18).

14.

Schlussendlich sollten Sicherheitsmaßnahmen vorgesehen werden, besonders in Bezug auf elektronische Datenbanken und Systeme. Die Grundsätze Rechenschaftspflicht und eingebauter Datenschutz sollten ebenfalls berücksichtigt werden.

15.

Artikel 157 der Verordnung Einheitliche GMO ermächtigt die Kommission, Durchführungsrechtsakte in Bezug auf Mitteilungsanforderungen für verschiedene Zwecke zu erlassen (wie Gewährleistung der Markttransparenz, Kontrolle der GAP-Maßnahmen oder Umsetzung internationaler Abkommen) (19), „dabei trägt sie dem Datenbedarf und den potenziellen Synergien zwischen Datenquellen Rechnung“ (20). Der EDSB empfiehlt, in dieser Bestimmung anzugeben, welche Datenquellen für welche bestimmten Zwecke zu nutzen sind. In dieser Hinsicht möchte der EDSB an die Gefahr erinnern, dass die Vernetzung zwischen Datenbanken im Gegensatz zum Grundsatz der Zweckbindung stehen kann (21), gemäß der personenbezogene Daten nicht weiter verarbeitet werden dürfen, wenn diese Weiterverarbeitung mit dem ursprünglichen Zweck der Erfassung nicht kompatibel ist (22).

16.

Artikel 74 und 77 der Verordnung über die Entwicklung des ländlichen Raums setzen ein neues Elektronisches Informationssystem fest, das zu Überwachungs- und Evaluierungszwecken „in Zusammenarbeit zwischen der Kommission und den Mitgliedstaaten zu entwerfen“ ist. Das System wird die Verarbeitung von Daten „einschließlich der wichtigsten Merkmale des Begünstigten und des Projektes“ beinhalten, die von den Begünstigten selbst angegeben wurden (Artikel 78). Soweit die „wichtigsten Informationen“ personenbezogene Daten umfassen, sollte dies in der Bestimmung festgelegt werden. Darüber hinaus sollten die Kategorien der zu verarbeitenden Daten definiert werden und der EDSB sollte zu den in Artikel 74 vorgesehenen Durchführungsrechtsakten konsultiert werden.

17.

Außerdem sieht Artikel 92 desselben Vorschlags die Einrichtung eines neuen Informationssystems „durch die Kommission in Zusammenarbeit mit den Mitgliedstaaten“ zum sicheren Austausch von „Daten gemeinsamen Interesses“ vor. Die Definition dieser Kategorien von auszutauschenden Daten ist zu weit gefasst und sollte für den Fall eingeschränkt werden, dass personenbezogene Daten unter Verwendung dieses Systems übermittelt werden. Ferner sollte die Verbindung zwischen Artikel 77 und Artikel 92 verdeutlicht werden, da nicht klar ist, ob sie denselben Zweck und Geltungsbereich haben.

18.

Randnummer 40 der horizontalen Verordnung gibt an, dass Mitgliedstaaten ein integriertes Verwaltungs- und Kontrollsystem (23) für bestimmte Zahlungen betreiben und „ermächtigt werden, das integrierte System auch für andere Stützungssysteme anzuwenden“, um „die Wirksamkeit und die Kontrolle der EU-Stützung“ zu verbessern. Diese Bestimmung sollte verdeutlicht werden, besonders wenn es nicht nur die Nutzung von Synergien im Bereich Infrastruktur betrifft, sondern auch die Anwendung von darin gespeicherten Informationen zum Zweck der Überwachung anderer Stützungssysteme.

19.

Entsprechend Artikel 73 Absatz 1 Buchstabe c der horizontalen Verordnung sollen Beihilfeanträge, neben Parzellen und Zahlungsansprüchen, auch „alle sonstigen Angaben, die in dieser Verordnung vorgesehen oder zur Umsetzung der einschlägigen sektorbezogenen Agrarvorschriften oder von dem betreffenden Mitgliedstaat vorgesehen sind“ umfassen (24). Für den Fall, dass diese Angaben personenbezogene Daten enthalten, sollten die Kategorien der angeforderten Daten festgelegt werden.

20.

Die horizontale Verordnung errichtet eine Reihe von Organen zur konkreten Umsetzung der GAP auf und weist ihnen Aufgaben zu (Artikel 7 bis 15). Für die Kommission sind die folgenden Zuständigkeiten vorgesehen (Titel IV-VII):

21.

Die erste im vorhergehenden Paragrafen genannte Aufgabe wird die Verarbeitung personenbezogener Daten umfassen, während für die zweite Aufgabe prima facie keine Notwendigkeit zur Verarbeitung personenbezogener Daten besteht: eine allgemeine Evaluierung der Maßnahmen kann auf Grundlage aggregierter oder auch anonymisierter Daten durchgeführt werden. Sofern die Kommission keine angemessene Rechtfertigung für die Notwendigkeit der Verarbeitung personenbezogener Daten in diesem Kontext beibringt, sollte verdeutlicht werden, dass der Kommission zum Zweck der allgemeinen Evaluierung der Maßnahmen keine personenbezogenen Daten geliefert werden.

22.

Artikel 49 bis 52 und 61 bis 63 der horizontalen Verordnung setzen die Regeln für Vor-Ort-Kontrollen fest (27). Der Vorschlag gibt an, dass diese hauptsächlich von zuständigen Behörden in den Mitgliedstaaten durchgeführt werden sollen, besonders in Bezug auf Hausbesuche und förmliche Vernehmungen von Personen, aber dass die Kommission Zugriff auf die so erhaltenen Informationen haben soll. Hier sollte der Gesetzgeber festlegen, dass die Kommission nur auf diese Daten zugreifen soll, wo dies zu Kontrollzwecken notwendig ist. Die Kategorien personenbezogener Daten, auf die die Kommission zugreift, sollten ebenfalls festgelegt werden.

23.

Zum Zwecke der Überwachung der Beihilfe richtet die horizontale Verordnung ein Verwaltungs- und Kontrollsystem ein (28) (Artikel 68-78), das aus einer Reihe von Datenbanken besteht:

24.

Die elektronische Datenbank soll aus einer Datenbank pro Mitgliedstaat bestehen (und, optional, dezentralisierte Datenbanken innerhalb der Mitgliedstaaten). Diese erfassen Daten, die von sämtlichen Begünstigten über Beihilfeanträge und Zahlungsansprüche erhalten wurden. Da es sein kann, dass nicht alle über Beihilfeanträge erfassten Daten für Kontrollzwecke notwendig sind, sollte überlegt werden, welche Möglichkeiten der Minimierung der Verarbeitung personenbezogener Daten in dieser Hinsicht bestehen.

25.

Der Zugriff auf das Verwaltungs- und Kontrollsystem ist nicht ausdrücklich geregelt. Ähnlich dem, was bezüglich der Vor-Ort-Kontrollen genannt wurde, empfiehlt der EDSB dem Gesetzgeber, klar festgelegte Vorschriften für den Zugriff auf dieses System festzulegen.

26.

In Bezug auf die Kontrollen sieht die horizontale Verordnung die Prüfung von Handelspapieren, einschließlich derjenigen von Dritten (Artikel 79-88) (29) vor. Diese Dokumente können personenbezogene Daten von Dritten enthalten. Die Bedingungen, unter denen von Dritten verlangt werden kann, deren Handelsdokumente offen zu legen, sollte in dem Instrument festgelegt werden (30).

27.

Artikel 87 desselben Vorschlags legt fest, dass Kommissionsbeamte Zugriff auf Dokumente „nach Maßgabe der einschlägigen einzelstaatlichen Rechtsvorschriften (…), die im Hinblick auf oder im Anschluss an die (…) Prüfungen erstellt wurden“, haben sollen. Dies gilt sowohl für Fälle, in denen sie an der Prüfung teilnehmen können (Absatz 2) und solchen, in denen bestimmte Rechtsakte Beamten vorbehalten sind, die per Gesetz des Mitgliedstaates, in dem die Prüfung stattfindet, bestimmt werden (Absatz 4). In beiden Fällen sollte gewährleistet werden, dass Kommissionsbeamte nur wenn nötig auf diese Daten zugreifen (z. B. zu Kontrollzwecken), auch in Fällen, in denen das einzelstaatliche Recht Zugriff für andere Zwecke gestatten könnte. Der EDSB bestärkt den Gesetzgeber darin, Präzisierungen zu diesem Zweck in den Text einzufügen.

28.

Gemäß Artikel 102 der horizontalen Verordnung sollen Mitgliedstaaten bestimmte Kategorien von Informationen, Erklärungen und Dokumenten kommunizieren. Dies sollte auch „eine Übersicht über die verfügbaren Ergebnisse sämtlicher Prüfungen und Kontrollen (…), die (…) durchgeführt worden sind“ (Artikel 102 Absatz 1 Buchstabe c Nummer v), umfassen. Für diesen Fall sollte entweder festgelegt werden, dass in diesen Übersichten keine personenbezogenen Daten enthalten sein werden oder, wenn personenbezogene Daten notwendig sind, der Zweck, für den sie zu kommunizieren notwendig sind, festgelegt werden.

29.

Artikel 70 Absatz 1 der horizontalen Verordnung legt fest, dass elektronische Datenbanken den Abruf „über die zuständige Behörde des betreffenden Mitgliedstaats“ von Daten ab dem Jahr 2000 aufwärts und „direkten und sofortigen Abruf“ von Daten im Zusammenhang mit „mindestens“ den letzten fünf aufeinander folgenden Kalenderjahren (31) ermöglichen sollten.

30.

Das System zur Identifizierung und Registrierung von Zahlungsansprüchen ermöglicht die „Überprüfung der Ansprüche und einen Kontrollabgleich mit den Beihilfeanträgen und dem Identifizierungssystem für landwirtschaftliche Parzellen“. Artikel 72 Absatz 2 der horizontalen Verordnung legt fest, dass Daten für einen Zeitraum von „mindestens“ vier Jahren verfügbar sein sollen (32).

31.

In Bezug auf diese beiden Systeme erinnert der EDSB an Artikel 6 Absatz 1 Buchstabe e der Richtlinie 95/46/EG und Artikel 4 Absatz 1 Buchstabe e der Verordnung (EG) Nr. 45/2001, die festlegen, dass Daten in identifizierbarer Weise nicht länger als notwendig für den Zweck, für den sie erfasst wurden, gespeichert werden dürfen. Dies impliziert, dass ein maximaler Speicherzeitraum definiert werden muss und nicht nur Mindestspeicherzeiträume.

32.

Artikel 157 Absatz 1, zweiter Unterabsatz der Verordnung Einheitliche GMO nennt, dass Daten an Drittstaaten und internationale Organisationen übermittelt werden können. Der EDSB möchte daran erinnern, dass die Übermittlung personenbezogener Daten an Staaten, die nicht für geeigneten Schutz sorgen, nur in Einzelfällen gerechtfertigt sein könnten, wenn eine der Ausnahmen in Artikel 26 der Richtlinie 95/46/EG oder Artikel 9 Absatz 6 der Verordnung (EG) Nr. 45/2001 anwendbar ist (zum Beispiel, wenn die Übermittlung notwendig oder aufgrund von wichtigen öffentlichen Interessen gesetzlich vorgeschrieben ist).

33.

In diesem Fall sollte der besondere Zweck der Übermittlung (z. B. im Zusammenhang mit der Umsetzung internationaler Vereinbarungen) festgelegt werden (33). Die relevanten internationalen Vereinbarungen sollten in die besonderen Schutzmaßnahmen in Bezug auf Schutz der Privatsphäre und personenbezogener Daten und die Ausübung dieser Rechte durch die betroffenen Personen eingeschlossen werden. Darüber hinaus sollte, für den Fall, dass Daten von der Kommission zu übermitteln sind, die Übermittlung Gegenstand einer Genehmigung durch den EDSB sein (34).

34.

Randnummer 70 der horizontalen Vereinbarung und die Begründungen zu diesen Vorschlägen legen fest, dass eine neue Regelung über die Veröffentlichung von Informationen über Begünstigte, die in der Rechtssache Schecke  (35)„den vom Gerichtshof erhobenen Einwänden Rechnung trägt“, in Vorbereitung ist.

35.

Der EDSB möchte daran erinnern, dass die Regelungen zur Veröffentlichung von Informationen im Zusammenhang mit Begünstigten den Grundsatz der Verhältnismäßigkeit wahren sollten. Wie vom Gerichtshof bestätigt (36), muss ein ausgewogenes Verhältnis zwischen den Grundrechten des Begünstigten auf Privatsphäre und Datenschutz und dem Interesse der Europäischen Union an der Garantie der Transparenz und der Gewährleistung eines soliden Managements öffentlicher Mittel hergestellt werden.

36.

Dies ist auch in Bezug auf Artikel 157 Absatz 1, zweiter Unterabsatz der Verordnung Einheitliche GMO relevant, demzufolge Daten „vorbehaltlich des Schutzes personenbezogener Daten und der berechtigten Interessen der Unternehmen an der Wahrung ihrer Geschäftsgeheimnisse (…) veröffentlicht werden“ können. Artikel 157 Absatz 2 Buchstabe d und 157 Absatz 3 Buchstabe c ermächtigt die Kommission delegierte Rechtsakte, die „die Bedingungen und Mittel für die Veröffentlichung der Information“ festlegen sowie Durchsetzungsrechtsakte zu Modalitäten der Übermittlung oder Bereitstellung von Informationen und öffentlich zugänglichen Dokumenten zu erlassen.

37.

Der EDSB begrüßt die Tatsache, dass die Veröffentlichung von Informationen und Dokumenten Gegenstand des Schutzes personenbezogener Daten sein wird. Allerdings sollten wesentliche Elemente wie der Zweck der Veröffentlichung sowie die Kategorien der zu veröffentlichenden Daten in den Vorschlägen angegeben werden, statt dies durch Durchsetzungs- oder delegierte Rechtsakte vorzunehmen.

38.

Die Rechte der betroffenen Personen sollten angegeben werden, besonders in Bezug auf das Recht auf Information und das Zugriffsrecht. Dies ist besonders in Bezug auf Artikel 81 der horizontalen Verordnung relevant, gemäß der Handelsdokumente von Begünstigten, aber auch solche von Lieferanten, Kunden, Transportunternehmen und anderen Dritten geprüft werden können. Obwohl Begünstigte sich dessen bewusst sein können, dass ihre Daten verarbeitet werden, sollten Dritte ebenfalls in angemessener Weise darüber informiert werden, dass ihre Daten zu Kontrollzwecken verwendet werden könnten (z. B. durch Datenschutzhinweise, die im Moment der Erfassung zu geben sind, sowie auf allen relevanten Websites und Dokumenten bereitgestellte Information). Die Verpflichtung, die betroffenen Personen, einschließlich Dritter, zu informieren, sollte in die Vorschläge aufgenommen werden.

39.

Sicherheitsmaßnahmen sollten vorgesehen werden, besonders in Bezug auf elektronische Datenbanken und Systeme. Die Grundsätze Rechenschaftspflicht und eingebauter Datenschutz sollten ebenfalls berücksichtigt werden. Eine Liste von zu verabschiedenden Sicherheitsmaßnahmen bezüglich dieser elektronischen Datenbanken und Systeme könnte wenigstens in die delegierten oder Durchsetzungsrechtsakte aufgenommen werden. Dies ist umso wichtiger, als die im Kontext von Kontrollen und Prüfungen verarbeiteten Daten auch Daten zu mutmaßlichen Straftaten umfassen könnten.

40.

Der EDSB begrüßt die in Artikel 103 der horizontalen Verordnung bezüglich Vertraulichkeit und Berufsgeheimnis für die Prüfung im Sinne der Artikel 79-88 der gleichen Verordnung festgelegten Anforderungen.

41.

Der EDSB ist der Ansicht, dass die zentralen Aspekte der Verarbeitungsvorgänge in den Vorschlägen sowie die notwendigen Datenschutzgarantien eher im wichtigsten Gesetzestext geregelt werden sollten, als in delegierten oder Durchsetzungsrechtsakten, um die Rechtssicherheit zu erhöhen:

42.

Diese Vorschriften können in delegierten oder Durchsetzungsrechtsakten weiter ausgearbeitet werden. Der EDSB erwartet, in dieser Hinsicht konsultiert zu werden.

43.

Ferner sollten Sicherheitsmaßnahmen wenigsten in den Durchsetzungs- und delegierten Rechtsakten vorgesehen werden, besonders in Bezug auf elektronische Datenbanken und Systeme. Die Grundsätze Rechenschaftspflicht und eingebauter Datenschutz sollten ebenfalls berücksichtigt werden.

44.

Schlussendlich kann es unter der Berücksichtigung, dass in einigen Fällen Daten im Zusammenhang mit (mutmaßlichen) Straftaten verarbeitet werden können (z. B. im Zusammenhang mit Betrug), einer Kontrolle durch die zuständigen nationalen Datenschutzbehörden oder den EDSB bedürfen.