|
28.4.2007 |
DE |
Amtsblatt der Europäischen Union |
C 94/3 |
Stellungnahme des Europäischen Datenschutzbeauftragten zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnung (EG) Nr. 515/97 des Rates über die gegenseitige Amtshilfe zwischen Verwaltungsbehörden der Mitgliedstaaten und die Zusammenarbeit dieser Behörden mit der Kommission im Hinblick auf die ordnungsgemäße Anwendung der Zoll- und der Agrarregelung (KOM(2006) 86 endg.)
(2007/C 94/02)
DER EUROPÄISCHE DATENSCHUTZBEAUFTRAGTE —
gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft, insbesondere auf Artikel 286,
gestützt auf die Charta der Grundrechte der Europäischen Union, insbesondere auf Artikel 8,
gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1),
gestützt auf die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (2) durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr, insbesondere auf Artikel 41,
gestützt auf das am 4. Januar 2007 eingegangene Ersuchen der Kommission um Stellungnahme nach Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 —
HAT FOLGENDE STELLUNGNAHME ANGENOMMEN:
EINLEITUNG
|
1. |
Mit dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnung (EG) Nr. 515/97 des Rates über die gegenseitige Amtshilfe zwischen Verwaltungsbehörden der Mitgliedstaaten und die Zusammenarbeit dieser Behörden mit der Kommission im Hinblick auf die ordnungsgemäße Anwendung der Zoll- und der Agrarregelung (3) (nachfolgend „der Vorschlag “genannt) werden zwei Ziele verfolgt. Erstens soll die geltende Verordnung (EG) Nr. 515/07 an die neuen Zuständigkeiten der Gemeinschaft im Bereich der Zusammenarbeit im Zollwesen angepasst werden. Zweitens sollen die Zusammenarbeit und der Informationsaustausch der Mitgliedstaaten untereinander und mit der Kommission verstärkt werden. |
|
2. |
Um diese beiden Ziele zu erreichen, sollen nach dem Vorschlag u.a. die Aufgaben des bestehenden Zollinformationssystems (ZIS) erweitert und ein zusätzliches europäisches Register eingerichtet werden, das Daten über Warenbewegungen mit Containern und/oder Transportmitteln sowie über die betreffenden Waren und Personen enthält. („Europäisches Zentralregister“). |
|
3. |
Außerdem soll mit dem Vorschlag eine gemeinschaftliche Rechtsgrundlage für das Aktennachweissystem für Zollzwecke (FIDE) geschaffen werden, das ursprünglich von den Mitgliedstaaten aufgrund von Titel VI des Vertrags über die Europäische Union eingerichtet worden war (4). Künftig kann das FIDE sowohl für Gemeinschaftsmaßnahmen als auch für Maßnahmen im Rahmen der dritten Säule herangezogen werden, wobei in dem betreffenden Rechtsakt festzulegen ist, welche Funktionen das FIDE im Einzelfall erfüllt. Gleiches gilt für das ZIS (5). Konkret sollen zwei Datenbanken eingerichtet werden, zu denen verschiedene Stellen Zugang haben, damit sie für unterschiedliche Zwecke (erste und dritte Säule) genutzt werden können. |
I. Anhörung des Europäischen Datenschutzbeauftragten
|
4. |
Gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (nachstehend „die Verordnung (EG) Nr. 45/2001 “genannt) hat die Kommission den Europäischen Datenschutzbeauftragten zu dem Vorschlag konsultiert. Das Ersuchen um Stellungnahme ist am 4. Januar 2007 beim Europäischen Datenschutzbeauftragten eingegangen. |
|
5. |
Da es sich bei Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 um eine bindende Vorschrift handelt, sollte in der Präambel des Vorschlags vor den Erwägungsgründen darauf hingewiesen werden, dass der Europäische Datenschutzbeauftragte konsultiert wurde. Dabei sollte die Formulierung „nach Anhörung des Europäischen Datenschutzbeauftragten“ gewählt werden, die bereits in anderen Rechtsetzungsvorschlägen verwendet wurde (6). |
II. Bedeutung des Vorschlags aus datenschutzrechtlicher Sicht
|
6. |
Der Auf- bzw. Ausbau der verschiedenen Instrumente für die Stärkung der gemeinschaftlichen Zusammenarbeit, d.h. des ZIS, des FIDE und des Europäischen Zentralregisters, führt dazu, dass mehr personenbezogene Daten erhoben und anschließend mit den Verwaltungsbehörden anderer Mitgliedstaaten und in einigen Fällen auch mit denen von Drittstaaten ausgetauscht werden. Die personenbezogenen Daten, die verarbeitet und ausgetauscht würden, können Informationen über die mutmaßliche oder erwiesene Beteiligung von Personen an Verstößen gegen die Zoll- oder die Agrarregelung enthalten. Von daher hätte die vorgeschlagene Verordnung erhebliche Auswirkungen auf den Schutz personenbezogener Daten. Dies gilt umso mehr, wenn man bedenkt, welche Art von Daten erhoben und ausgetauscht werden sollen — nämlich insbesondere Verdachtsmomente in Bezug auf die Beteiligung einzelner Personen an Verstößen — und die Endgültigkeit und Konsequenzen der Verarbeitung. |
|
7. |
In Anbetracht der Auswirkungen der vorgeschlagenen Verordnung auf den Schutz personenbezogener Daten, hält es der Europäische Datenschutzbeauftragte für wichtig, dass in der vorliegenden Stellungnahme geprüft wird, welche Folgen sich für den Schutz der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten ergeben würden. |
III. Hauptelemente des Vorschlags und erste Anmerkungen
|
8. |
Aus datenschutzrechtlicher Sicht sind in erster Linie die folgenden Elemente des Vorschlags von Bedeutung: i) die Einrichtung eines Europäischen Zentralregisters (Artikel 18a und 18b), ii) die Aktualisierung der Bestimmungen über das ZIS (Artikel 23 bis 37) sowie iii) die Vorschriften über den Ausbau des FIDE zu einer gemeinschaftlichen Datenbank (Artikel 41a bis 41d). Von Belang sind zudem einige Vorschriften, insbesondere über die Überwachung des Datenschutzes, die geändert wurden, um der Annahme der Verordnung (EG) Nr. 45/2001 Rechnung zu tragen (Artikel 37, 42 und 43). |
|
9. |
Der Europäische Datenschutzbeauftragte erinnert an seine frühere Stellungnahme zu dem Vorschlag für eine Verordnung über die gegenseitige Amtshilfe zum Schutz der finanziellen Interessen der Gemeinschaft gegen Betrug und sonstige rechtswidrige Handlungen (7), in der er hervorgehoben hat, dass einige Bestimmungen der Verordnung (EG) Nr. 515/97 des Rates an die neuen Datenschutzvorschriften für die Gemeinschaftsorgane, namentlich die Verordnung (EG) Nr. 45/2001 angepasst werden müssen. Der Europäische Datenschutzbeauftragte begrüßt daher, dass der vorliegende Vorschlag entsprechende Änderungen vorsieht. |
|
10. |
Erfreulich ist aus seiner Sicht auch, dass die Bestimmungen über die Einrichtung des Europäischen Zentralregisters und die Aktualisierung der ZIS-Vorschriften Garantien für den Schutz personenbezogener Daten und der Privatsphäre enthalten. Der Europäische Datenschutzbeauftragte begrüßt des Weiteren die Entscheidung, das FIDE in den Anwendungsbereich des Gemeinschaftsrechts, d.h. der Verordnung (EG) Nr. 45/2001, einzubeziehen. |
|
11. |
Der Europäische Datenschutzbeauftragte ist sich der Bedeutung der Ziele, die mit dem Vorschlag verfolgt werden, nämlich eine engere Zusammenarbeit der Mitgliedstaaten untereinander und mit der Kommission, bewusst. Und er erkennt an, dass hierfür Instrumente geschaffen bzw. die bestehenden Instrumente, wie das ZIS und das FIDE, ausgebaut werden müssen. Er ist im Übrigen erfreut, dass dabei Datenschutzgarantien in den Vorschlag aufgenommen wurden, die den geltenden Datenschutzvorschriften der EU-Organe Rechnung tragen. Aus seiner Sicht lässt sich die vorgeschlagene Verordnung jedoch noch weiter verbessern, damit sie mit dem geltenden Rechtsrahmen zum Datenschutz und dem wirksamen Schutz personenbezogener Daten insgesamt vereinbar ist. Hierzu wird der Europäische Datenschutzbeauftragte im folgenden Abschnitt eine Reihe von Bemerkungen und Empfehlungen abgeben. |
ANALYSE DES VORSCHLAGS
I. Einrichtung eines Europäischen Zentralregisters
|
12. |
Nach Artikel 18a Absatz 1 des Vorschlags soll die Kommission ein Europäisches Zentralregister einrichten und verwalten, mit dessen Hilfe „Warensendungen, die im Verdacht stehen, Gegenstand von Vorgängen zu sein, die der Zoll- oder der Agrarregelung zuwiderlaufen“ entdeckt werden können. Die Kommission würde die meisten Daten bei öffentlichen oder privaten Dienstleistern erheben, die in der internationalen Logistikkette oder im internationalen Warenverkehr tätig sind. Nach Artikel 18a Absatz 2 Buchstabe b könnte sie das Register „mit Hilfe anderer Datenquellen“ anreichern. In Artikel 18a Absatz 3 sind die Daten aufgeführt, die in dem Zentralregister gespeichert werden dürfen, darunter auch die personenbezogenen Daten (8). Die Kommission stellt diese Daten den zuständigen Behörden der Mitgliedstaaten zur Verfügung. |
|
13. |
Nach dem Vorschlag würde das Zentralregister dazu dienen, Vorgänge aufzudecken, bei denen es sich um Unregelmäßigkeiten in Bezug auf die Zoll- und Agrarregelung handeln könnte. Allerdings ist nach Auffassung des Europäischen Datenschutzbeauftragten, wie jedes Mal, wenn eine zentrale Datenbank mit personenbezogenen Daten aufgebaut werden soll, zuvor ordnungsgemäß und sorgfältig zu prüfen, ob eine solche Datenbank notwendig ist, und bei ihrer Einrichtung dafür zu sorgen, dass besondere, den Grundsätzen des Datenschutzes entsprechende Garantien vorgesehen werden. Denn es geht darum, Entwicklungen zu verhindern, die den Schutz personenbezogener Daten in unangemessener Weise beeinträchtigen würden. |
|
14. |
Aus Sicht des Europäischen Datenschutzbeauftragten wird in dem Vorschlag nicht hinreichend belegt, dass das Zentralregister tatsächlich notwendig ist. Da nur Datenbanken eingerichtet werden sollen, für die wirklich Bedarf besteht, fordert der Europäische Datenschutzbeauftragte die Kommission auf, eine angemessene Bewertung der Notwendigkeit eines Zentralregisters durchzuführen und einen Bericht über die Ergebnisse vorzulegen. |
|
15. |
Was die Datenschutzgarantien betrifft, sieht der Vorschlag zwar einige Garantien vor, jedoch sind nach Einschätzung des Europäischen Datenschutzbeauftragten zusätzliche Maßnahmen erforderlich. |
I.1. Anwendung der Verordnung (EG) Nr. 45/2001
|
16. |
Der Europäische Datenschutzbeauftragte hält fest, dass das Europäische Zentralregister, zweifellos der Verordnung (EG) Nr. 45/2001 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr unterliegen würde, da diese von der Kommission eingerichtet und verwaltet werden und personenbezogene Daten enthalten soll. Daher müsste die Kommission, die für die Verarbeitung der Daten beim Zentralregister verantwortlich ist (9), dafür Sorge tragen, dass alle Bestimmungen dieser Verordnung eingehalten werden. |
|
17. |
Wenngleich somit die Einrichtung und Verwaltung des Zentralregisters ohnehin der Verordnung (EG) Nr. 45/2001 unterliegt, sollte nach Ansicht des Europäischen Datenschutzbeauftragten aus Gründen der Kohärenz eine neue Bestimmung eingefügt werden, in der ausdrücklich darauf hingewiesen wird. Artikel 34 des Vorschlags, der das Zollinformationssystem (ZIS) und das Aktennachweissystem für Zollzwecke (FIDE) betrifft, enthält bereits eine solche Bezugnahme auf die Verordnung (EG) Nr. 45/2001. Im Interesse der Kongruenz sollte eine entsprechende Bestimmung für das Zentralregister aufgenommen werden. Der Europäische Datenschutzbeauftragte schlägt daher vor, in Artikel 18 Absatz 1 einen neuen Unterabsatz einzufügen, der in Anlehnung an Artikel 34 folgendermaßen formuliert werden könnte: „Die Kommission betrachtet das Europäische Zentralregister als ein System zur Verarbeitung personenbezogener Daten, das der Verordnung (EG) Nr. 45/2001 unterliegt.“ |
|
18. |
Der Europäische Datenschutzbeauftragte hält fest, dass in Artikel 18a Absatz 2 Buchstabe b des Vorschlags festgelegt wird, dass die Verordnung (EG) Nr. 45/2001 in bestimmten Fällen zu beachten ist, nämlich immer dann, wenn die Kommission das Register nutzt, um „Daten zu abzugleichen und gegenüberzustellen (...) zu indizieren, anzureichern... “Ohne eine allgemeine Bestimmung, nach der das Zentralregister einschließlich aller Verarbeitungsvorgänge von seiner Einrichtung bis hin zu seiner Verwaltung insgesamt der Verordnung (EG) Nr. 45/2001 unterliegt, könnte jedoch der Eindruck entstehen, dass die Tätigkeiten/Stadien, die in Artikel 18a Absatz 2 Buchstabe b nicht ausdrücklich erwähnt werden, nicht unter die Verordnung (EG) Nr. 45/2001 fallen. Dies ist ein weiteres Argument für die Einfügung der oben vorgeschlagenen Formulierung. |
|
19. |
Der Europäische Datenschutzbeauftragte erinnert daran, dass die Kommission aufgrund der Verordnung (EG) Nr. 45/2001 u.a. verpflichtet wäre, die Betroffenen darüber zu informieren, dass ihre Namen im Register gespeichert wurden (10). Insbesondere ist zu beachten, dass ein solches Recht auch dann besteht, wenn die im Register gespeicherten personenbezogenen Daten aus öffentlichen Quellen stammen. Überdies ist die Kommission in Anbetracht der Zweckbestimmung des Registers an Artikel 27 der Verordnung 45/2001 gebunden, nach dem das System vor seiner Einführung vom Europäischen Datenschutzbeauftragten zu prüfen ist (11). |
I.2. Anwendung der einzelstaatlichen Vorschriften zur Umsetzung der Richtlinie 95/46/EG
|
20. |
Nach Artikel 18a Absatz 2 Buchstabe c des Vorschlags ist die Kommission befugt, die Daten den zuständigen Behörden der Mitgliedstaaten zur Verfügung zu stellen. Dabei unterläge die Übermittlung zwar der Verordnung (EG) Nr. 45/2001, für die anschließende Verwendung der Daten durch die Behörden der Mitgliedstaaten wäre jedoch die Richtlinie 95/46/EG vom 24. Oktober 1995 maßgeblich. Dieses Konzept sollte, wie unten noch weiter ausgeführt wird, in Artikel 18a Absatz 2 Buchstabe c offenbar bereits zum Ausdruck gebracht werden, es könnte jedoch noch deutlicher formuliert werden. |
|
21. |
So heißt es in Artikel 18a Absatz 2: „Im Rahmen der Verwaltung dieses Registers ist die Kommission befugt, …. c) die Daten dieses Registers den zuständigen Behörden im Sinne von Artikel 1 Absatz 1 zur Verfügung zu stellen mit dem einzigen Ziel, die Zweckbestimmung der vorliegenden Verordnung zu erreichen, soweit die nationalen Bestimmungen zur Umsetzung der Richtlinie 95/46/EG beachtet werden.“ Aus Sicht des Europäischen Datenschutzbeauftragten geht aus Artikel 18a Absatz 2 Buchstabe c nicht eindeutig hervor, dass die Weiterverwendung der personenbezogenen Daten durch die Behörden der Mitgliedstaaten den einzelstaatlichen Vorschriften zur Umsetzung der Richtlinie 95/46/EG unterliegt. Damit dies deutlicher zum Ausdruck kommt, sollte nach Auffassung des Europäischen Datenschutzbeauftragten der Schluss von Artikel 18a Absatz 2 Buchstabe c folgendermaßen geändert werden: „... mit dem einzigen Ziel, die Zweckbestimmung der vorliegenden Verordnung zu erreichen. Die Weiterverwendung der personenbezogenen Daten durch diese Behörden unterliegt den einzelstaatlichen Vorschriften zur Umsetzung der Richtlinie 95/46/EG.“ In jedem Fall dürfen die Daten — außer in besonderen Ausnahmefällen — auf einzelstaatlicher Ebene nur zu den Zwecken weiterverarbeitet werden, zu denen sie von der Kommission zur Verfügung gestellt wurden (siehe Artikel 6 Absatz 1 Buchstabe b und Artikel 13 Absatz 1 der Richtlinie 95/46/EG). |
I.3. Zusätzliche Bemerkungen
|
22. |
Der Europäische Datenschutzbeauftragte ist dafür, dass — wie in Artikel 18 Absatz 4 des Vorschlags vorgesehen — lediglich ein begrenzter Kreis von Kommissionsabteilungen befugt sein soll, die im Europäischen Zentralregister gespeicherten Daten zu verarbeiten. Dies entspricht Artikel 22 der Verordnung (EG) Nr. 45/2001, nach dem die für die Verarbeitung Verantwortlichen u.a. technische und organisatorische Maßnahmen zu treffen haben, die gewährleisten, dass die Daten nur in dem jeweils nötigen Umfang weitergegeben werden, um sie in angemessener Weise zu schützen. |
|
23. |
Nach Artikel 18Absatz 4 Unterabsatz 2 müssen personenbezogene Daten, die nicht zur Erreichung des verfolgten Zwecks erforderlich sind, anonymisiert werden. Weiter heißt es darin, dass die Daten in jedem Fall höchstens 1 Jahr aufbewahrt werden dürfen. Der Europäische Datenschutzbeauftragte begrüßt diese Bestimmung, die mit Artikel 4 Absatz 1 Buchstabe eder Verordnung 45/2001 im Einklang steht, wonach personenbezogene Daten nur so lange, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form gespeichert werden dürfen, die die Identifizierung der betroffenen Person ermöglicht. |
|
24. |
Nach Artikel 22 der Verordnung (EG) Nr. 45/2001 muss das Zentralregister angemessen geschützt werden. Die Gewährleistung eines optimalen Sicherheitsniveaus ist ein Grunderfordernis für den Schutz der darin gespeicherten Daten. Während die Bestimmungen über das Zollinformationssystem die Einführung besonderer Sicherheitsmaßnahmen vorsehen, wird dies in Bezug auf das Europäische Zentralregister in dem Vorschlag nicht erwähnt. Nach Auffassung des Europäischen Datenschutzbeauftragten sollten die Sicherheitsfragen im Zusammenhang mit dem Zentralregister in zusätzlichen Verwaltungsvorschriften geregelt werden, nach denen besondere Maßnahmen zu ergreifen sind, um die Vertraulichkeit der Informationen sicherzustellen. Vor der Annahme dieser Vorschriften sollte der Europäische Datenschutzbeauftragte konsultiert werden. |
II. Änderung der Bestimmungen über das Zollinformationssystem (ZIS)
|
25. |
Die Artikel 23 bis 41 der Verordnung (EG) Nr. 515/97 des Rates enthalten die Bestimmungen über das Zollinformationssystem, einer von der Kommission verwalteten Datenbank, auf die die Mitgliedstaaten und die Kommission zugreifen können und die diese bei der Verhinderung, Ermittlung und Bekämpfung von Handlungen, die der Zoll- oder der Agrarregelung zuwiderlaufen, unterstützen soll. |
II.1. Erweiterung der Verwendungsmöglichkeiten für die im ZIS gespeicherten personenbezogenen Daten
|
26. |
In dem Vorschlag werden einige der bisherigen Bestimmungen über den Betrieb und die Benutzung des ZIS geändert. So könnten nach Artikel 25 mehr Kategorien von personenbezogenen Daten als bislang im ZIS gespeichert werden; nach Artikel 27 dürften die in ZIS gespeicherten personenbezogenen Daten zudem künftig auch zum Zwecke der operationellen Analyse verwendet werden, die u.a. dazu dient, die „Zuverlässigkeit der Informationsquelle und der Information“ zu prüfen und „Hypothesen oder Empfehlungen zu formulieren“ (...), „die zur Aufdeckung von Handlungen und/oder zur Identifizierung von natürlichen oder juristischen Personen“ genutzt werden können. Überdies soll nach Artikel 35 Absatz 3 die Möglichkeit bestehen, den Datenbestand des ZIS in andere Datenverarbeitungssysteme zu übernehmen, sofern es sich um „Systeme der Risikoanalyse“ handelt, „die dazu bestimmt sind, die Zollkontrollen auf nationaler Ebene zu steuern“ oder um „ein System für die operationelle Analyse, welches Koordinierungsmaßnahmen auf Gemeinschaftsebene steuert“. |
|
27. |
Nach dem Vorschlag sind die genannten zusätzlichen Verwendungen erforderlich, damit Handlungen, die der Zoll- oder der Agrarregelung zuwiderlaufen, leichter aufgedeckt und verfolgt werden können. Der Europäische Datenschutzbeauftragte bestreitet zwar nicht, dass die Notwendigkeit hierfür besteht, doch hätte sie aus seiner Sicht im Kommissionsvorschlag mit umfassenderen Informationen und stichhaltigen Argumenten untermauert werden müssen. |
|
28. |
Der Europäische Datenschutzbeauftragte begrüßt, dass die genannten Änderungen mit Datenschutzgarantien verknüpft worden sind. Der Vorschlag enthält nämlich nach wie vor eine erschöpfende Liste von personenbezogenen Daten, die in das ZIS aufgenommen werden dürfen (bisheriger Artikel 25 Absatz 1), wobei diese Daten nur dann aufgenommen werden dürfen, wenn es „tatsächliche Anhaltspunkte“ dafür gibt, dass die betreffende Person Zuwiderhandlungen begangen hat, begeht oder begehen wird (bisheriger Artikel 27 Absatz 2). Ferner dürfen nach Artikel 25 Absatz 3 keine sensiblen Daten (12) in das ZIS eingespeist werden. Des Weiteren ist in Artikel 35 Absatz 3 festgelegt, dass nur ein begrenzter Kreis von Personen befugt sein soll, die Daten aus dem ZIS für die im selben Artikel genannten Zwecke zu exportieren, und dass die aus dem ZIS exportierten Daten nur für eine begrenzte Zeit aufbewahrt werden dürfen. Diese Vorschriften stehen mit dem Grundsatz der Datenqualität nach Artikel 4 der Verordnung (EG) Nr. 45/2001 im Einklang. |
II.2. Anwendungsbereich der Verordnung (EG) Nr. 45/2001
|
29. |
Mit Artikel 34 des Vorschlags wird dem Umstand Rechnung getragen, dass inzwischen die Verordnung (EG) Nr. 45/2001 erlassen wurde, die für die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft gilt. So hat die Kommission nach diesem Artikel zu beachten, dass das ZIS der Verordnung (EG) Nr. 45/2001 unterliegt. Der Europäische Datenschutzbeauftragte bestätigt, dass das ZIS unzweifelhaft unter diese Verordnung fällt, da es personenbezogene Daten enthält, die Kommission Zugang zu dieser Datenbank hat und überdies das für die Verarbeitung der Daten verantwortliche Organ ist. Der Europäische Datenschutzbeauftragte begrüßt daher diese Änderung, mit der dem geltenden Rechtsrahmen für den Datenschutz Rechnung getragen wird. |
|
30. |
Der Europäische Datenschutzbeauftragte weist darauf hin, dass das ZIS nach Artikel 27 der Verordnung (EG) Nr. 45/2001 vorab von ihm kontrolliert werden muss, da es aufgrund seiner Zweckbestimmungen besondere Risiken für die Rechte und Freiheiten der betroffenen Personen bergen könnte. |
|
31. |
Nach Artikel 34 des Vorschlags sollen weiterhin neben der Verordnung (EG) Nr. 45/2001 auch die einzelstaatlichen Vorschriften zur Umsetzung der Richtlinie 95/46/EG Anwendung finden. Der Europäische Datenschutzbeauftragte hält dies für richtig, da die Behörden der Mitgliedstaaten Zugang zum ZIS haben und darüber hinaus befugt sind, Daten in das System einzugeben und die darin enthaltenen Daten weiter zu verarbeiten. Nach Auffassung des Europäischen Datenschutzbeauftragten obliegt die Überwachung des ZIS sowohl der Kommission als auch den Mitgliedstaaten, die beide für die darin gespeicherten Daten verantwortlich sind. |
II.3. Überwachung des ZIS durch den Europäischen Datenschutzbeauftragten und die nationalen Datenschutzbehörden
|
32. |
Nach der Verordnung (EG) Nr. 45/2001 hat der Europäische Datenschutzbeauftragte dafür zu sorgen, dass diese Verordnung auf das ZIS angewandt wird. Diese Zuständigkeit des Europäischen Datenschutzbeauftragten wird zwar in einigen aber nicht in allen Artikeln des Vorschlags berücksichtigt. So wurden die Passagen des Artikels 37, in denen es um die Überwachung geht, bedauerlicherweise nicht entsprechend geändert; der Europäische Datenschutzbeauftragte fordert die Gesetzgeber daher auf, die nachstehenden Änderungen vorzunehmen. |
|
33. |
In Artikel 37 Absatz 1 wird ausdrücklich festgestellt, dass die Aufsichtsbehörden der Mitgliedstaaten für die Überwachung des ZIS zuständig sind. Allerdings bleibt darin unerwähnt, dass der Europäische Datenschutzbeauftragte nach der Verordnung (EG) Nr. 45/2001 vergleichbare Zuständigkeiten besitzt. Dieses Problem stellt sich in noch stärkerem Maße bei Artikel 37 Absatz 3, der in dem Vorschlag nicht geändert wurde. Er lautet: „Die Kommission trifft im Rahmen ihrer Dienste alle Vorkehrungen, um eine Überwachung des Schutzes personenbezogener Daten sicherzustellen, die gleichwertige Garantien bietet wie Absatz 1.“ Mit anderen Worten — nach Artikel 37 Absatz 1 ist die Überwachung des Datenschutzes Sache der Kommission. Dieser Artikel hätte selbstverständlich geändert werden müssen, um den neuen Kontrollbefugnissen des Europäischen Datenschutzbeauftragten Rechnung zu tragen. Artikel 37 Absatz 3 ergibt in der vorliegenden Fassung keinen Sinn. Um dieses Problem zu beheben, sollte Artikel 37 Absatz 3 folgendermaßen geändert werden: „Der Europäische Datenschutzbeauftragte überwacht, dass das ZIS nicht gegen die Verordnung (EG) Nr. 45/2002 verstößt.“ |
|
34. |
Da das ZIS nicht nur der Verordnung (EG) Nr. 45/2001 unterliegt, sondern auch den einzelstaatlichen Vorschriften zur Umsetzung der Richtlinie 95/46/EG, sind der Europäische Datenschutzbeauftragte und die nationalen Datenschutzbehörden gleichermaßen für seine Überwachung zuständig. Außerdem sollten sich die nationalen Aufsichtsbehörden und der Europäische Datenschutzbeauftragte bei der Überwachung bis zu einem gewissen Grad abstimmen, um ein ausreichendes Maß an Kohärenz und insgesamt die Wirksamkeit sicherzustellen. Wie der Europäische Datenschutzbeauftragte bereits in früheren Stellungnahmen zu Datenbanken, für deren Aufsicht er gemeinsam mit den EU-Mitgliedstaaten zuständig ist, festgestellt hat, „sind eine Harmonisierung in Bezug auf die Durchführung der Verordnung sowie die Ausarbeitung eines gemeinsamen Konzepts zur Lösung gemeinsamer Probleme unerlässlich“ (13). |
|
35. |
Leider sieht der Vorschlag kein Koordinierungsverfahren für eine strukturierte und verstärkte Zusammenarbeit zwischen dem Europäischen Datenschutzbeauftragten und den nationalen Datenschutzbehörden vor. Für die Beseitigung diese Problems käme aus Sicht des Europäischen Datenschutzbeauftragten zum Einen in Betracht, in den Artikel 37, der die Überwachung des Datenschutzes betrifft, folgende neue Passage aufzunehmen: „Der Europäische Datenschutzbeauftragte beruft mindestens einmal im Jahr eine Sitzung mit allen nationalen Aufsichtsbehörden ein, auf der die Überwachung des ZIS betreffende Fragen erörtert werden. Die Mitglieder der nationalen Datenschutzbehörden und der Europäische Datenschutzbeauftragte werden als ‚die Aufsichtsbehörden ‘bezeichnet.“ |
|
36. |
Eine bessere Lösung, die dem genannten mehrstufigen Aufsichtskonzept entsprechen würde, bestünde darin, die Bestimmungen über die Überwachung des Datenschutzes (Artikel 37) wie bei den kürzlich erlassenen Rechtsakten über das Schengener Informationssystem (SIS II) in mehrere Artikel für die verschiedenen Aufsichtsstufen aufzuteilen. So sehen insbesondere die Artikel 44 bis 46 der Verordnung (EG) Nr. 1987/2006 des Europäischen Parlaments und des Rates vom 20. Dezember 2006 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II) (14) eine ausgewogene Regelung für die Überwachung vor, die von den nationalen Kontrollinstanzen und vom Europäischen Datenschutzbeauftragten, die sich untereinander abstimmen, gemeinsam wahrgenommen wird. Der Europäische Datenschutzbeauftragte empfiehlt dringend, diese Überwachungsregelung (in leicht abgewandelter Form) für das ZIS zu übernehmen. Das ZIS und das SIS II sind nämlich in Bezug auf ihre Aufsichtsstruktur weitgehend vergleichbar. |
|
37. |
Nach Artikel 43 Absatz 5 tritt der in Artikel 43 Absatz 1 genannte Ausschuss (nachstehend „der Ad-hoc-Ausschuss “genannt) regelmäßig in einer Ad-hoc-Zusammensetzung zusammen, um Datenschutzprobleme im Zusammenhang mit dem Betrieb des ZIS zu prüfen. Nach Ansicht des Europäischen Datenschutzbeauftragten ist dieser Ad-hoc-Ausschuss nicht als geeignetes Gremium für die Überwachung des ZIS zu betrachten, da hierfür ausschließlich die nationalen Aufsichtsbehörden und der Europäische Datenschutzbeauftragte zuständig sind. Bei dem Ad-hoc-Ausschuss nach Artikel 43 Absatz 5 handelt es sich nämlich um einen Komitologie-Ausschuss. |
|
38. |
Gleichwohl eignet sich der Ad-hoc-Ausschuss nach Auffassung des Europäischen Datenschutzbeauftragten, um Datenschutzprobleme im Zusammenhang mit dem Betrieb des ZIS zu prüfen. Deshalb schlägt er vor, Artikel 43 Absatz 5 entsprechend den Aufgaben und der Rolle des Ad-hoc-Ausschusses folgendermaßen umzuformulieren: „Der Ausschuss prüft zusammen mit der in Artikel … genannten Aufsichtsgruppe alle Probleme im Zusammenhang mit dem Betrieb des ZIS, mit denen die Aufsichtsbehörden konfrontiert werden. Er tagt mindestens einmal im Jahr in einer Ad-hoc-Zusammensetzung.“ |
|
39. |
Außerdem möchte der Europäische Datenschutzbeauftragte den Gesetzgeber auf eine andere Eigenschaft hinweisen, die das ZIS und das SIS II teilen: Beide Systeme arbeiten im Rahmen der ersten und der zweiten Säule, weshalb für beide zwei unterschiedliche Rechtsgrundlagen erforderlich sind. Das ZIS der ersten Säule fällt unter das unter Nummer 3 dieser Stellungnahme erwähnte Übereinkommen. Dies wirkt sich u.a. auf die Aufsichtsstruktur aus: Das ZIS der ersten Säule wird vom Europäischen Datenschutzbeauftragten und den nationalen Datenschutzbehörden, das ZIS der dritten Säule aber von einer Gemeinsamen Aufsichtsbehörde (die sich aus Vertretern eben dieser nationalen Behörden zusammensetzt) überwacht. Diese ziemlich schwerfällige Aufsichtsregelung dürfte zu Ungereimtheiten führen und sich als ineffizient erweisen. Hier zeigt sich, welche Probleme ein solch komplizierter Rechtsrahmen mit sich bringt. |
|
40. |
Allerdings hat sich der europäische Gesetzgeber bei SIS II für eine Rationalisierung der Aufsichtsregelung entschieden und sowohl für das System der ersten als auch für das der dritten Säule das oben beschriebene mehrstufige Konzept gewählt. Dies ist sicherlich eine Lösung, die in Betracht zu ziehen ist, und der Europäische Datenschutzbeauftragte empfiehlt, weiter zu prüfen, inwieweit sich mit ihr eine bessere und kohärentere Aufsicht gewährleisten ließe. |
II.4. Rechte der Betroffenen
|
41. |
Die Datenschutzrechte der Betroffenen, insbesondere das Auskunftsrecht, werden in Artikel 36 und 37 geregelt, die in dem Vorschlag teilweise geändert wurden. Der Europäische Datenschutzbeauftragte möchte im Zusammenhang mit dem Auskunftsrecht die drei folgenden Fragen ansprechen, nämlich i) welches Recht nach Artikel 36 Absatz 1 anzuwenden ist, ii) welche Beschränkungen nach Artikel 36 Absatz 2 für das Auskunftsrecht gelten und iii) welches Verfahren Personen bei Auskunftsanträgen nach Artikel 37 Absatz 2 des Vorschlags einzuhalten haben. |
|
42. |
Anzuwendendes Recht : Nach Artikel 36 Absatz 1, der in dem Vorschlag nicht berührt wurde und in dem die Datenschutzrechte der Betroffenen beiläufig anerkannt werden, richtet sich das Recht auf Auskunft nach den Rechts- und Verwaltungsvorschriften der Mitgliedstaaten oder nach den Datenschutzregeln der Kommission, je nachdem ob es in einem Mitgliedstaat oder gegenüber einem EU-Organ geltend gemacht wurde. Dieses Kriterium entspricht dem, was oben zu Artikel 34 des Vorschlags ausgeführt wurde, nämlich dass das ZIS sowohl von der Kommission als auch von den Mitgliedstaaten überwacht wird. Der Europäische Datenschutzbeauftragte stimmt diesem Konzept zu und begrüßt, dass Artikel 36 Absatz 1 unverändert in den Vorschlag übernommen wurde. Jedenfalls ist klar, dass diese Bestimmung implizit auf die einschlägigen einzelstaatlichen Vorschriften zur Umsetzung der Richtlinie 95/46/EG oder die Verordnung (EG) Nr. 45/2001 verweist. Welche Vorschriften anzuwenden sind, richtet sich jeweils danach, wo die Rechte geltend gemacht werden. |
|
43. |
Beschränkungen des Auskunftsrechts : Nach Artikel 36 Absatz 2 Unterabsatz 2 „sind Auskünfte während des Zeitraums zu verweigern, in welchem Maßnahmen zum Zweck der Feststellung und Unterrichtung oder ... eine operationelle Analyse der Daten durchgeführt wird oder eine Ermittlung läuft“. Der Europäische Datenschutzbeauftragte würde die Formulierung „ können Auskünfte ... verweigert werden“ (anstatt „sind Auskünfte ... zu verweigern“) vorziehen, und zwar aus folgenden Gründen: |
|
44. |
Nach der Verordnung (EG) Nr. 45/2001 haben Personen grundsätzlich ein Recht auf Zugang zu den sie betreffenden Daten. Allerdings darf dieses Recht nach Artikel 20 der Verordnung (EG) Nr. 45/2001 unter ganz bestimmten Umständen eingeschränkt werden. Mit anderen Worten: Personen haben grundsätzlich ein Auskunftsrecht, doch kann dieses Recht eingeschränkt werden. Dagegen bietet die Formulierung in Artikel 36 Absatz 2 „sind Auskünfte ... zu verweigern“ keinerlei Ermessensspielraum in der Frage, ob Auskünfte gewährt werden können oder nicht. Im Grunde besagt sie, dass Personen während eines bestimmten Zeitraums kein Auskunftsrecht haben. Es gibt keinen Grund, warum die generelle Regelung der Verordnung (EG) Nr. 45/2001 hier nicht gelten sollte, zumal Artikel 20 eine Beschränkung des Auskunftsrechts während des in Artikel 36 Absatz 2 genannten Zeitraums zulassen würde. Wenn die Kommission nämlich Auskünfte verweigern will, könnte sie sich auf Artikel 20 berufen, nach dem Auskünfte verweigert werden können, um laufende Ermittlungen nicht zu gefährden. |
|
45. |
Nach Auffassung des Europäischen Datenschutzbeauftragten sollte der Vorschlag nach dem Vorbild der Verordnung (EG) Nr. 45/2001 formuliert werden. Sonst stünde er im Widerspruch zum allgemeinen Rahmen, der ein Auskunftsrecht nach der Verordnung (EG) Nr. 45/2001 vorsieht. Das Problem lässt sich beheben, indem „sind ... zu verweigern “einfach durch „können … verweigert werden “ersetzt wird. |
|
46. |
Verfahren für Auskunftsanträge : In dem Vorschlag wird der derzeitige Artikel 37 Absatz 2 der Verordnung (EG) Nr. 515/97 geändert, in dem festgelegt ist, welches Verfahren Personen, einhalten müssen, wenn sie Auskünfte darüber beantragen möchten, ob im ZIS Daten über sie gespeichert sind. Nach dem neuen Artikel 37 Absatz 2 kann jeder sowohl beim Europäischen Datenschutzbeauftragten als auch bei seiner nationalen Aufsichtsbehörde Zugang zu den ihn betreffenden Daten beantragen, je nachdem, ob die Daten von der Kommission oder einem Mitgliedstaat in das ZIS eingegeben wurden. |
|
47. |
Der Europäische Datenschutzbeauftragte begrüßt diese Änderung, durch die das Verfahren enger an den geltenden Rechtsrahmen für den Datenschutz angepasst wird. Allerdings ist er der Meinung, dass es nicht davon abhängen sollte, welche Stelle die Daten in das ZIS eingegeben hat, ob die Mitgliedstaaten oder die Kommission zuständig sind. Erstens dürfte den Betroffenen höchstwahrscheinlich nicht bekannt sein, von welcher Seite die Daten in das ZIS eingegeben wurden, ob von der Kommission oder von einem Mitgliedstaat. Sie können infolgedessen auch nicht wissen, welche Stelle für ihren Auskunftsantrag zuständig ist. Das Antragsverfahren würde umständlich, wenn die Betroffenen erst herausfinden müssten, wer die Daten eingegeben hat. Zweitens steht diese Bestimmung nach Ansicht des Europäischen Datenschutzbeauftragten im Widerspruch zu dem Kriterium in Artikel 36 Absatz 1, wonach sich das Recht auf Auskunft nach den Rechts- und Verwaltungsvorschriften der Mitgliedstaaten oder nach den Datenschutzregeln der Kommission richtet, je nachdem ob es in einem Mitgliedstaat oder gegenüber einem EU-Organ geltend gemacht wurde. Daher sollte die Zuständigkeit für die Auskunftsanträge schon allein aus Gründen der Kohärenz mit Artikel 36 davon abhängen, ob das Auskunftsrecht bei den nationalen Aufsichtsbehören oder beim Europäischen Datenschutzbeauftragten geltend gemacht wurde. |
|
48. |
Um dieses Problem zu beheben, sollte der Passus „je nachdem, ob die Daten von einem Mitgliedstaat oder von der Kommission in das ZIS eingegeben wurden“ durch folgenden Wortlaut ersetzt werden: „je nachdem, ob diese Rechte bei einer nationalen Aufsichtsbehörde oder beim Europäischen Datenschutzbeauftragten geltend gemacht werden“. Dann ergibt auch der folgende Satz in Artikel 37 Absatz 2 Sinn: „Wurden die Daten durch einen anderen Mitgliedstaat oder die Kommission eingegeben, so erfolgt die Kontrolle in enger Abstimmung mit der Aufsichtsbehörde dieses Mitgliedstaats oder mit dem Europäischen Datenschutzbeauftragten.“ |
II.5. Datenaustausch
|
49. |
Was den Austausch von personenbezogenen Daten mit den Behörden von Drittländern betrifft, so enthält der Vorschlag nichts Neues. Diese Frage wird in Artikel30 Absatz 4 geregelt. Nach Ansicht des Europäischen Datenschutzbeauftragten hätte dieser Artikel insofern geändert werden müssen, als darauf verwiesen werden müsste, dass die Kommission (und nicht nur die Mitgliedstaaten) besondere Maßnahmen ergreifen muss, um die Sicherheit der Daten bei der Übermittlung oder Weitergabe an Dienststellen in Drittländern zu gewährleisten. Außerdem müsste Artikel 30 Absatz 4 an die geltenden Rechtsvorschriften über die Weitergabe von personenbezogenen Daten an Drittländer angepasst werden. |
III. Aktennachweissystem für Zollzwecke (FIDE)
|
50. |
In den Artikeln 41a, 41b, 41c und 41d des Vorschlags wird der Betrieb des Aktennachweissystems für Zollzwecke geregelt. Mit Hilfe des FIDE können die zuständigen Behörden nachprüfen, ob eine Person oder ein Unternehmen schon einmal Gegenstand strafrechtlicher Ermittlungen in einem Mitgliedstaat war. |
|
51. |
Das FIDE wird von den Mitgliedstaaten bereits im Rahmen der dritten Säule genutzt (15). Deshalb soll mit Artikel 41 eine Rechtsgrundlage für das FIDE der Gemeinschaft geschaffen werden, was der ESB begrüßt. |
|
52. |
Da gemäß Artikel 41a alle Bestimmungen der vorgeschlagenen Verordnung über das ZIS auch für das FIDE gelten sollen, sind die Ausführungen in Abschnitt II sinngemäß auch auf das FIDE zu übertragen. |
III.1. Anwendung der Verordnung (EG) Nr. 45/2001
|
53. |
Da die Kommission für die Verarbeitung der im FIDE gespeicherten Daten verantwortlich ist, dürfte aus Sicht des Europäischen Datenschutzbeauftragten klar sein, dass das FIDE der Verordnung (EG) Nr. 45/2001 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr unterliegt. Daher sollte in Artikel 41 darauf hingewiesen werden, dass das FIDE unter die Verordnung (EG) Nr. 45/2001 fällt und dass der Europäische Datenschutzbeauftragte befugt ist, zu überwachen und sicherzustellen, dass das System nicht gegen die Bestimmungen dieser Verordnung verstößt. |
|
54. |
Der Europäische Datenschutzbeauftragte weist darauf hin, dass das FIDE nach Artikel 27 der Verordnung (EG) Nr. 45/2001 vorab von ihm überprüft werden muss, da es in Anbetracht seiner Zweckbestimmungen und der Art der darin gespeicherten Daten besondere Risiken für die Rechte und Freiheiten der betroffenen Personen bergen könnte. |
III.2. Speicherdauer
|
55. |
In Artikel 41d ist genau festgelegt, wie lange die Daten gespeichert werden dürfen. Der Europäische Datenschutzbeauftragte hält die darin genannten Fristen für vernünftig. |
|
56. |
Unklar ist, wie sich diese Bestimmung zu dem das ZIS betreffenden Artikel 33 verhält. Vermutlich hat Artikel 41d Vorrang vor der Parallelbestimmung über das ZIS, doch geht dies aus dem Vorschlag nicht eindeutig hervor. Eine Klarstellung wäre nützlich. |
III.3. Aktualisierung der im FIDE gespeicherten Daten
|
57. |
Nach Artikel 4 der Verordnung (EG) Nr. 45/2001 müssen personenbezogene Daten den Zwecken entsprechen, für die sie erhoben werden, dafür erheblich sein und dürfen nicht darüber hinausgehen. Es liegt auf der Hand, dass sich die Qualität der personenbezogenen Daten nur gewährleisten lässt, wenn diese regelmäßig und sorgfältig auf ihre Richtigkeit hin überprüft werden. Der Europäische Datenschutzbeauftragte begrüßt auch die Bestimmung in Artikel 41d, wonach die Daten unverzüglich zu löschen sind, sobald nach den Rechts- und Verwaltungsvorschriften des eingebenden Mitgliedstaats der Verdacht gegen eine Person nicht mehr besteht. |
|
58. |
Um jedoch zu verhindern, dass nicht mehr benötigte Daten weiter im FIDE gespeichert bleiben, schlägt der Europäische Datenschutzbeauftragte vor, einige der Bestimmungen des Artikels 33 über die Speicherzeit beim ZIS auch auf das FIDE anzuwenden. Dies gilt insbesondere für Artikel 33 Absatz 1, wonach der Partner, der die Daten eingegeben hat, mindestens einmal jährlich überprüft, ob ihre weitere Speicherung notwendig ist. Der Europäische Datenschutzbeauftragte schlägt daher vor, dem Artikel 41d Absatz 2 folgenden Wortlaut anzufügen: „Mindestens einmal jährlich überprüft der Mitgliedstaat, der die Daten eingegeben hat, ob ihre weitere Speicherung notwendig ist.“ |
FAZIT
|
59. |
Der Europäische Datenschutzbeauftragte begrüßt, dass er zu dem Vorschlag konsultiert wurde, da dieser den Auf- bzw. den Ausbau mehrerer Systeme zur Erfassung personenbezogener Daten — Europäisches Zentralregister, Zollinformationssystem (ZIS) und Aktennachweissystem für Zollzwecke (FIDE) — vorsieht, mit denen die Zusammenarbeit und der Informationsaustausch der Mitgliedstaaten untereinander und mit der Kommission verstärkt werden sollen. |
|
60. |
Was den Inhalt betrifft, so stellt der Europäische Datenschutzbeauftragte Folgendes fest:
|
|
61. |
Um sicherzustellen, dass nicht mehr benötigte Daten aus dem FIDE gelöscht werden, schlägt der Europäische Datenschutzbeauftragte vor, dem Artikel 41d Absatz 2 folgenden Wortlaut anzufügen: „Mindestens einmal jährlich überprüft der Mitgliedstaat, der die Daten eingegeben hat, ob ihre weitere Speicherung notwendig ist.“ |
|
62. |
Was das Verfahren betrifft, so
|
Geschehen zu Brüssel am 22. Februar 2007
Peter HUSTINX
Europäischer Datenschutzbeauftragter
(1) ABl. L 281 vom 23.11.1995, S. 31.
(2) ABl. L 8 vom 12.1.2001, S. 1.
(3) ABl. L 82 vom 22.3.1997, S. 1.
(4) Protokoll gemäß Artikel 34 des Vertrages über die Europäische Union zur Änderung des Übereinkommens über den Einsatz der Informationstechnologie im Zollbereich (ZIS-Übereinkommen) hinsichtlich der Einrichtung eines Aktennachweissystems für Zollzwecke. Das Protokoll wurde mit dem Rechtsakt 2003/C 139/01 des Rates vom 8. Mai 2003 (ABl. C 139 vom 13.6.2003, S. 1) angenommen.
(5) Rechtsgrundlage für die zwischenstaatliche Datenbank ist das Übereinkommen aufgrund von Artikel K.3 des Vertrags über die Europäische Union über den Einsatz der Informationstechnologie im Zollbereich (ZIS-Übereinkommen), ABl. C 316 vom 27.11.1995, S. 34.
(6) Vgl. Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnung (EG) Nr. 1073/1999 über die Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) {SEK(2006) 638 } /* KOM/2006/0244 endg. — COD 2006/0084 */.
(7) Stellungnahme des Europäischen Datenschutzbeauftragten zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die gegenseitige Amtshilfe zum Schutz der finanziellen Interessen der Gemeinschaft gegen Betrug und sonstige rechtswidrige Handlungen (KOM(2004) 509 endgültig vom 20. Juli 2004), ABl. C 301 vom 7.12.2004, S. 4.
(8) Nach Artikel 18 Absatz 3 Buchstabe c beschränken sich die erhobenen Daten auf „den Namen, den Mädchennamen, Vornamen, angenommene Namen, Geburtsdatum und –ort, Nationalität, Geschlecht und Anschrift des Eigentümers, Expediteurs, Empfängers, Frachtführer, Transporteurs und anderer Mittelspersonen oder Personen, die in der internationalen logistischen Kette und beim Transport der Waren auftreten“.
(9) Die für Datenverarbeitung Verantwortlichen sind die Personen oder Stellen, die über die Zwecke und Mittel der Verarbeitung von Daten im öffentlichen oder privaten Sektor entscheiden.
(10) Es sei denn, sie wurden von den Dienstleistern, die die Daten an die Kommission übermitteln, bereits nach den einzelstaatlichen Vorschriften zur Umsetzung der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.1.1995, S. 31) informiert.
(11) Zu den Verarbeitungen, die vom Europäischen Datenschutzbeauftragten vorab zu prüfen sind, zählen nach Artikel 27 der Verordnung 45/2001 a) Verarbeitungen von Daten über Gesundheit und Verarbeitungen von Daten, die Verdächtigungen, Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen; b) Verarbeitungen, die dazu bestimmt sind, die Persönlichkeit der betroffenen Person zu bewerten, einschließlich ihrer Kompetenz, ihrer Leistung oder ihres Verhaltens; c) Verarbeitungen, die eine in den nationalen oder gemeinschaftlichen Rechtsvorschriften nicht vorgesehene Verknüpfung von Daten ermöglichen, die zu unterschiedlichen Zwecken verarbeitet werden; d) Verarbeitungen, die darauf abzielen, Personen von einem Recht, einer Leistung oder einem Vertrag auszuschließen.
(12) Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über die Gesundheit oder das Sexualleben.
(13) Stellungnahmen vom 19. Oktober 2005 zu drei Vorschlägen über das Schengener Informationssystem der zweiten Generation (SIS II) (KOM(2005)230 endg., KOM(2005)236 endg. und KOM(2005)237 endg.), ABl. C 91 vom 19.4.2006, S. 38; Stellungnahme vom 23. März 2005 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über das Visa-Informationssystem (VIS) und den Datenaustausch zwischen Mitgliedstaaten über Visa für den kurzfristigen Aufenthalt (KOM(2004) 835 endg.), ABl. C 181 vom 23.7.2005, S. 13.
(14) ABl. L 381 vom 28.12.2006, S. 4–23.
(15) Es wurde mit dem Rechtsakt des Rates vom 8. Mai 2003 betreffend die Erstellung des Protokolls zur Änderung des Übereinkommens über den Einsatz der Informationstechnologie im Zollbereich eingerichtet.