27.10.2007   

DE

Amtsblatt der Europäischen Union

C 255/1

1.

Die Kommission hat dem EDSB am 7. März 2007 die Mitteilung der Kommission an das Europäische Parlament und an den Rat „Stand des Arbeitsprogramms für eine bessere Durchführung der Datenschutzrichtlinie“ (3) übermittelt. Gemäß Artikel 41 der Verordnung (EG) Nr. 45/2001 nimmt der EDSB hiermit Stellung dazu.

2.

In der Mitteilung wird die Bedeutung der Richtlinie 95/46/EG (4) als Wendepunkt in der Geschichte des Datenschutzes bekräftigt, und die Richtlinie sowie ihre Durchführung werden in den drei Kapiteln „Bisherige Erfolgsbilanz“, „Aktuelle Situation“ und „Blick in die Zukunft“ erörtert. Die Mitteilung gelangt zu der zentralen Schlussfolgerung, dass die Richtlinie nicht geändert werden sollte. Die Durchführung der Richtlinie sollte mittels anderer, zumeist nicht verbindlicher politischer Instrumente, weiter verbessert werden.

3.

Diese Stellungnahme des EDSB folgt dem Aufbau der Mitteilung. Wichtiger ist, dass der EDSB die zentrale Schlussfolgerung der Kommission teilt, wonach die Richtlinie nicht geändert werden sollte.

4.

Der EDSB vertritt diesen Standpunkt jedoch auch aus praktischen Erwägungen. Er geht dabei von folgenden Überlegungen aus:

5.

Diese Ausgangspunkte sind von grundlegender Bedeutung, da man nicht vergessen darf, dass die Richtlinie sich in einem dynamischen Kontext bewegt. Erstens ist die Europäische Union im Wandel begriffen: Der freie Datenverkehr zwischen den Mitgliedstaaten — und zwischen den Mitgliedstaaten und Drittländern — ist immer wichtiger geworden und wird sogar zu einer noch bedeutenderen Realität werden. Zweitens ist die Gesellschaft im Wandel begriffen. Die Informationsgesellschaft entwickelt sich weiter und nimmt immer mehr die Züge einer Überwachungsgesellschaft (5) an. Daraus entsteht ein zunehmender Bedarf an wirksamem Schutz personenbezogener Daten, um diesen neuen Realitäten zur vollen Zufriedenheit aller zu begegnen.

6.

Der EDSB wird sich in seiner Beurteilung der Mitteilung insbesondere mit den folgenden für die genannten Änderungen relevanten Perspektiven befassen:

7.

Der erste Bericht über die Durchführung der Datenschutzrichtlinie vom 15. Mai 2003 enthielt ein Arbeitsprogramm für die bessere Durchführung der Datenschutzrichtlinie, mit einer Liste von 10 Initiativen, die 2003 und 2004 durchgeführt werden sollten. In der Mitteilung wird im Einzelnen beschrieben, wie diese Maßnahmen umgesetzt worden sind.

8.

Die Mitteilung zieht auf der Grundlage der Analyse der im Rahmen des Arbeitsprogramms durchgeführten Arbeiten eine positive Bilanz der bei der Durchführung der Richtlinie erzielten Verbesserungen. Die Bewertung der Kommission, die in den Untertiteln von Kapitel 2 („Aktuelle Situation“) der Mitteilung zusammengefasst ist, enthält folgende Grundaussage: Es wurden Fortschritte bei der Umsetzung der Richtlinie erzielt, auch wenn sie in einigen Mitgliedstaaten noch lückenhaft ist; es bestehen noch gewisse Abweichungen, die sich jedoch zumeist in dem von der Richtlinie vorgesehenen Ermessensspielraum bewegen und keinesfalls ein wirkliches Problem für den Binnenmarkt darstellen. Die in der Richtlinie dargelegten rechtlichen Lösungen haben sich als überwiegend zweckmäßig für die Wahrung des Grundrechts auf Datenschutz erwiesen, und sie tragen dem technologischen Wandel und den durch das öffentliche Interesse bedingten Erfordernissen Rechnung.

9.

Der EDSB schließt sich dieser positiven Bewertung in den Grundzügen an. Er würdigt insbesondere die bedeutenden Arbeiten, die im Bereich des grenzüberschreitenden Datenverkehrs durchgeführt wurden: Die Erkenntnisse über ein angemessenes Datenschutzniveau in Drittländern, neue Standardvertragsklauseln, die Annahme verbindlicher unternehmensinterner Vorschriften, Überlegungen über eine einheitlichere Auslegung von Artikel 26 Absatz 1 der Richtlinie und Verbesserungen bei den Meldungen gemäß Artikel 26 Absatz 2 sind allesamt Schritte hin zu einer Erleichterung der internationalen Übermittlung personenbezogener Daten. Die Rechtsprechung des Gerichtshofs (6) hat jedoch gezeigt, dass in diesem zentralen Bereich noch Einiges getan werden muss, damit den Entwicklungen sowohl im Bereich der Technologie als auch im Bereich der Strafverfolgung Rechnung getragen werden kann.

10.

Aus der Mitteilung geht ferner hervor, dass die Durchsetzung und die Sensibilisierung die zentralen Aspekte für die Förderung einer besseren Durchführung sind und dass verstärkt auf diese Aspekte abgestellt werden könnte. Darüber hinaus sind der Austausch bewährter Verfahren und die Harmonisierung im Bereich Meldung und Information Beispiele für eine erfolgreiche Reduzierung von Verwaltungsaufwand und Kosten für Unternehmen.

11.

Die Analyse der bisherigen Bilanz bestätigt ferner, dass Verbesserungen nicht ohne die Einbeziehung einer breiten Palette interessierter Parteien erzielt werden können. Die Kommission, die Datenschutzbehörden und die Mitgliedstaaten sind zentrale Akteure in den meisten der durchgeführten Aktionen. Nicht-öffentliche Stellen spielen jedoch eine zunehmend wichtige Rolle, insbesondere bei der Förderung der Selbstregulierung und von europäischen Verhaltenskodizes oder bei der Entwicklung von Technologien zum Schutz der Privatsphäre.

12.

Es gibt mehrere Gründe, um die Schlussfolgerung der Kommission zu unterstützen, wonach unter den derzeitigen Voraussetzungen kurzfristig kein Vorschlag für eine Änderung der Richtlinie vorgelegt werden sollte.

13.

Die Kommission gibt im Wesentlichen zwei Gründe für diese Schlussfolgerung an. Erstens ist das Potenzial der Richtlinie noch nicht vollständig ausgeschöpft worden. In den Gerichtsbarkeiten der Mitgliedstaaten sind noch wesentliche Verbesserungen bei der Umsetzung der Richtlinie möglich. Zweitens gibt es nach Ansicht der Kommission trotz des Ermessensspielraums, den die Richtlinie den Mitgliedstaaten lässt, keinen Beweis dafür, dass Abweichungen innerhalb dieses Spielraums wirkliche Probleme in Bezug auf den Binnenmarkt verursachen.

14.

Ausgehend von diesen beiden Gründen formuliert die Kommission ihre Schlussfolgerung wie folgt. Sie erläutert, was die Richtlinie bewirken sollte, wobei der Schwerpunkt auf der Vertrauensbildung liegt, und führt anschließend aus, dass die Richtlinie einen Anknüpfungspunkt bietet, technologisch neutral ist und weiterhin fundierte und angemessene Antworten bereithält (7).

15.

Der EDSB begrüßt den Wortlaut dieser Schlussfolgerung, ist jedoch der Ansicht, dass sie noch verstärkt werden könnte, indem zwei weitere Gründe angeführt werden:

16.

Das Grundrecht natürlicher Personen auf Schutz ihrer personenbezogenen Daten ist in Artikel 8 der Charta der Grundrechte der Europäischen Union anerkannt und unter anderem im Übereinkommen Nr. 108 des Europarates vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten verankert. Grundsätzlich bildet die Richtlinie einen Rahmen mit den wichtigsten Elementen für den Schutz dieses Grundrechts, indem sie die im Übereinkommen enthaltenen Rechte und Freiheiten konkretisiert und erweitert (8).

17.

Ein Grundrecht dient dazu, die Bürger in einer demokratischen Gesellschaft unter allen Umständen zu schützen. Die wesentlichen Elemente eines solchen Grundrechts sollten nicht leichtfertig aufgrund des gesellschaftlichen Wandels oder der politischen Präferenzen der amtierenden Regierung geändert werden. Beispielsweise kann die Bedrohung der Gesellschaft durch terroristische Organisationen in spezifischen Fällen zu einem anderen Ergebnis führen, da umfangreichere Eingriffe in das Grundrecht einer Person erforderlich sein können; sie darf jedoch nie die zentralen Elemente des Rechts selbst beeinträchtigen oder die Ausübung des Rechts durch eine Einzelperson verhindern oder unangemessen einschränken.

18.

Das zweite Merkmal der Richtlinie besteht darin, dass sie die Förderung des freien Datenverkehrs im Binnenmarkt vorsieht. Auch dieses zweite Merkmal kann im Rahmen eines immer umfangreicheren Binnenmarkts ohne interne Grenzen als grundlegend betrachtet werden. Die Harmonisierung wesentlicher Bestimmungen des einzelstaatlichen Rechts ist eines der Hauptinstrumente für die Schaffung und das Funktionieren dieses Binnenmarkts. Sie konkretisiert das jeweilige Vertrauen zwischen den Mitgliedstaaten in die gegenseitigen Rechtssysteme. Auch aus diesem Grund sollten Änderungen wohl überlegt werden, da sie das gegenseitige Vertrauen beeinträchtigen könnten.

19.

Die Richtlinie zeichnet sich drittens dadurch aus, dass sie als allgemeiner Rahmen für den Aufbau spezifischer Rechtsinstrumente zu sehen ist. Diese spezifischen Instrumente umfassen Durchführungsmaßnahmen für den allgemeinen Rahmen sowie spezifische Rahmen für spezifische Sektoren. Die Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) (9) ist solch ein spezifischer Rahmen. Wann immer dies möglich ist, sollte ein gesellschaftlicher Wandel zu Änderungen der Durchführungsmaßnahmen oder der spezifischen Rechtsrahmen, jedoch nicht des allgemeinen Rahmens führen, auf dem diese aufbauen.

20.

Nach Ansicht des EDSB ist die Schlussfolgerung der Kommission, die Richtlinie zum jetzigen Zeitpunkt nicht zu ändern, auch eine logische Folge der allgemeinen Grundsätze verantwortungsvoller Verwaltung und der Rechtsetzungspolitik. Rechtsetzungsvorschläge — unabhängig davon, ob sie neue Bereiche gemeinschaftlichen Handelns schaffen oder bestehende Rechtsetzungsvereinbarungen ändern — sollten nur vorgelegt werden, wenn ihre Notwendigkeit und Verhältnismäßigkeit ausreichend nachgewiesen sind. Es sollte kein Rechtsetzungsvorschlag vorgelegt werden, wenn das gleiche Ergebnis auch durch andere, weniger weit reichende Instrumente erzielt werden könnte.

21.

Unter den derzeitigen Voraussetzungen sind die Notwendigkeit und Verhältnismäßigkeit einer Änderung der Richtlinie nicht gegeben. Der EDSB weist darauf hin, dass die Richtlinie einen allgemeinen Rahmen für den Datenschutz nach dem Gemeinschaftsrecht schafft. Sie muss zum einen den Schutz der Rechte und Freiheiten von Einzelpersonen, insbesondere das Recht auf Privatsphäre, in Bezug auf die Verarbeitung personenbezogener Daten und zum anderen den freien Verkehr personenbezogener Daten im Binnenmarkt gewährleisten.

22.

Dieser allgemeine Rahmen sollte nicht geändert werden, solange er nicht in den Mitgliedstaaten vollständig umgesetzt ist, es sei denn, es gibt klare Anzeichen dafür, dass die Ziele der Richtlinie in diesem Rahmen nicht zu erreichen sind. Nach Ansicht des EDSB hat die Kommission — unter den derzeitigen Voraussetzungen — angemessen dargelegt, dass das Potenzial der Richtlinie noch nicht vollständig ausgeschöpft ist (siehe Kapitel III dieser Stellungnahme). Auch gibt es keine Anhaltspunkte dafür, dass die Ziele in dem derzeitigen Rahmen nicht erreicht werden könnten.

23.

Es muss auch in Zukunft gewährleistet sein, dass die Datenschutzprinzipien wirksamen Schutz für natürliche Personen bieten, und zwar unter Berücksichtigung des dynamischen Kontextes, in dem die Richtlinie sich bewegt (siehe Nummer 5 dieser Stellungnahme), und der Perspektiven von Nummer 6 dieser Stellungnahme: Verbesserung der Durchführung, Interaktion mit der Technologie, globale Privatsphäre und Gerichtsbarkeit, Datenschutz und Strafverfolgung sowie Reformvertrag. Diese Notwendigkeit der vollständigen Anwendung der Datenschutzprinzipien bestimmt das Ausmaß künftiger Änderungen der Richtlinie. Der EDSB weist erneut darauf hin, dass längerfristig Änderungen der Richtlinie unvermeidbar scheinen.

24.

Was den Inhalt etwaiger künftiger Maßnahmen betrifft, so gibt der EDSB bereits zum jetzigen Zeitpunkt einige Elemente an die Hand, die er in einem künftigen System für den Datenschutz innerhalb der Europäischen Union für wesentlich hält. Sie umfassen Folgendes:

25.

Die Mitteilung erwähnt — im Zusammenhang mit den Herausforderungen der neuen Technologien — die laufende Überprüfung der Richtlinie 2002/58/EG und den möglichen Bedarf an zusätzlichen spezifischen Regeln im Hinblick auf Fragen des Datenschutzes, die sich durch neue Technologien wie Internet und RFID (10) stellen. Der EDSB begrüßt diese Überprüfung und die weiteren Maßnahmen, weist aber darauf hin, dass diese sich nicht nur auf die technologischen Entwicklungen beziehen, sondern auch den gesamten dynamischen Kontext berücksichtigen und in einer längerfristigen Perspektive auch die Richtlinie 95/46/EG einbeziehen sollten. Ferner ist ein zielgerichteteres Vorgehen in diesem Kontext erforderlich. Leider lässt die Mitteilung diesbezüglich Fragen offen:

Der EDSB empfiehlt, dass die Kommission diese Elemente näher spezifiziert.

26.

Jeder künftigen Änderung muss die vollständige Umsetzung der derzeitigen Bestimmungen der Richtlinie vorausgehen. Die vollständige Umsetzung beginnt mit der Einhaltung der gesetzlichen Vorschriften der Richtlinie. In der Mitteilung wird darauf hingewiesen (11), dass eine Reihe von wichtigen Bestimmungen der Richtlinie in einigen Mitgliedstaaten nicht in innerstaatliches Recht übernommen worden sind, was insbesondere für die Bestimmungen über die Unabhängigkeit der Datenschutzbehörden gilt. Es obliegt der Kommission, die Einhaltung zu überwachen und — falls sie es für angebracht hält — Gebrauch von ihren Befugnissen nach Artikel 226 EGV zu machen.

27.

In der Mitteilung ist eine Mitteilung zur Auslegung einiger Bestimmungen vorgesehen; dabei geht es insbesondere um die Bestimmungen, die ein förmliches Vertragsverletzungsverfahren nach Artikel 226 EGV nach sich ziehen können.

28.

Darüber hinaus werden mit der Richtlinie weitere Mechanismen für die Verbesserung der Umsetzung eingeführt. Insbesondere stellen die in Artikel 30 aufgelisteten Aufgaben der Datenschutzgruppe gemäß Artikel 29 auf diesen Zweck ab. Mit ihnen soll die Umsetzung in den Mitgliedstaaten auf einem hohen und harmonisierten Datenschutzniveau gefördert werden, das über das für die Erfüllung der Verpflichtungen der Richtlinie erforderliche absolute Minimum hinausgeht. Die Gruppe hat in Ausübung dieser Rolle in den vergangenen Jahren zahlreiche Stellungnahmen und andere Dokumente erstellt.

29.

Nach Ansicht des EDSB beinhaltet die vollständige Umsetzung der Richtlinie die folgenden beiden Elemente:

Der EDSB betont, dass die beiden Elemente aufgrund der unterschiedlichen rechtlichen Auswirkungen sowie der damit verbundenen Verantwortlichkeiten klar voneinander getrennt sein sollten. Generell sollte die Kommission die volle Verantwortung für das erste Element tragen, während die Gruppe der Hauptakteur im Hinblick auf das zweite Element sein sollte.

30.

Eine weitere genauere Unterscheidung bezieht sich auf die verfügbaren Instrumente für eine bessere Umsetzung der Richtlinie. Dazu gehört Folgendes:

31.

Der EDSB empfiehlt der Kommission, dass sie bei der Erarbeitung ihrer Strategie auf der Grundlage der vorliegenden Mitteilung genau angibt, wie sie diese verschiedenen Instrumente nutzen wird. Die Kommission sollte dabei auch eindeutig zwischen ihren eigenen Verantwortlichkeiten und den Verantwortlichkeiten der Gruppe unterscheiden. Abgesehen davon ist natürlich eine gute Zusammenarbeit zwischen der Kommission und der Gruppe unter allen Umständen eine Voraussetzung für ein erfolgreiches Vorgehen.

32.

Zunächst ist festzuhalten, dass die Bestimmungen der Richtlinie technologisch neutral formuliert sind. Die Mitteilung verknüpft die Betonung der technologischen Neutralität mit einer Reihe technologischer Entwicklungen wie Internet, Zugang zu Diensteanbietern in Drittländern, RFID und Kombination von Ton- und Bilddaten mit automatischer Erkennung. Sie unterscheidet zwischen zwei Arten von Maßnahmen: erstens spezifische Orientierung im Hinblick auf die Anwendung der Datenschutzprinzipien in einem sich verändernden technologischen Umfeld, wobei der Gruppe und ihrer Internet-Task Force (13) eine bedeutende Rolle zufällt. Zweitens könnte die Kommission selbst sektorspezifische Rechtsvorschriften vorschlagen.

33.

Der EDSB begrüßt diesen Ansatz als einen wichtigen ersten Schritt. Längerfristig könnten jedoch weitere und weiter gehende Schritte erforderlich sein. Diese Mitteilung könnte als Ausgangspunkt für einen solchen längerfristigen Ansatz fungieren. Der EDSB schlägt vor, als Folgemaßnahme zu dieser Mitteilung eine Diskussion über diesen Ansatz einzuleiten. Die folgenden Punkte könnten Elemente dieses Ansatzes sein.

34.

Erstens bewirkt die Interaktion mit den Technologien zweierlei. Einerseits können neue Technologien Änderungen des gesetzlichen Rahmens für den Datenschutz erforderlich machen. Andererseits kann das Erfordernis des wirksamen Schutzes der personenbezogenen Daten von Einzelpersonen neue Beschränkungen oder angemessene Garantien bei der Nutzung bestimmter Technologien erfordern, was eine noch weiter reichende Folge ist. Neue Technologien könnten jedoch auch effizient genutzt und eingesetzt werden, um die Privatsphäre zu schützen.

35.

Zweitens könnten spezifische Einschränkungen erforderlich sein, wenn neue Technologien von staatlichen Stellen in Ausübung ihrer öffentlichen Aufgaben genutzt werden. Ein gutes Beispiel dafür sind die Diskussionen über die Interoperabilität und den Zugang, die im Raum der Freiheit, der Sicherheit und des Rechts im Hinblick auf die Durchführung des Haager Programms stattfinden (14).

36.

Drittens besteht eine Tendenz zur umfassenderen Verwendung von biometrischem Material, wie etwa — aber nicht nur — DNS-Material. Die spezifischen Herausforderungen im Zusammenhang mit der Nutzung personenbezogener Daten, die anhand dieses Materials gewonnen werden, könnten Auswirkungen auf die Gesetze über den Datenschutz haben.

37.

Viertens darf man nicht vergessen, dass die Gesellschaft selbst im Wandel begriffen ist und immer mehr die Züge einer Überwachungsgesellschaft annimmt (15). Es muss eine grundlegende Debatte über diese Entwicklung stattfinden. Zentrale Fragen dieser Debatte wären, ob diese Entwicklung unvermeidbar ist, ob es die Aufgabe des europäischen Gesetzgebers ist, in diese Entwicklung einzugreifen und ihr Grenzen zu setzen, ob und wie der europäische Gesetzgeber wirksame Maßnahmen ergreifen könnte usw.

38.

Die Perspektive der globalen Privatsphäre und der Gerichtsbarkeit spielt im Rahmen der Mitteilung nur eine untergeordnete Rolle. Die Kommission soll lediglich internationale Foren weiterhin beobachten und Beiträge dazu leisten, um ein kohärentes Vorgehen der Mitgliedstaaten bei der Einhaltung ihrer Verpflichtungen im Rahmen der Richtlinie zu gewährleisten. Daneben listet die Mitteilung eine Reihe von Tätigkeiten auf, die im Hinblick auf die Vereinfachung der Erfordernisse für den internationalen Datenverkehr ausgeführt wurden (siehe Kapitel III dieser Stellungnahme).

39.

Der EDSB bedauert, dass dieser Perspektive in der Mitteilung keine größere Bedeutung eingeräumt wurde.

40.

Derzeit ist in Kapitel IV der Richtlinie (Artikel 25 und 26) zusätzlich zu den allgemeinen Regeln für den Datenschutz eine Sonderregelung für die Übermittlung von Daten in Drittländer vorgesehen. Diese Sonderregelung ist im Laufe der Jahre mit der Absicht erarbeitet worden, ein ausgewogenes Gleichgewicht zwischen dem Schutz von Einzelpersonen, deren Daten in Drittländer übermittelt werden, und unter anderem den Erfordernissen des internationalen Handels und der Realität der globalen Telekommunikationsnetze herzustellen. Die Kommission und die Gruppe (16), aber beispielsweise auch die Internationale Handelskammer, haben sich intensiv um das Funktionieren dieses Systems bemüht, insbesondere durch Bescheinigungen eines angemessenen Schutzniveaus, Standardvertragsklauseln, verbindliche unternehmensinterne Vorschriften usw.

41.

Für die Anwendbarkeit des Systems auf das Internet war das Urteil des Gerichtshofs in der Rechtssache Lindqvist (17) von besonderer Bedeutung. Der Gerichtshof weist auf die umfassende Abrufbarkeit von Informationen im Internet hin und kommt zu dem Schluss, dass die Aufnahme von Daten in eine Internetseite — auch wenn diese Daten dadurch Personen in Drittländern, die über die entsprechenden technischen Mittel verfügen, zugänglich gemacht werden — nicht als Übermittlung von Daten in ein Drittland angesehen werden kann.

42.

Dieses System, das eine logische und notwendige Folge der territorialen Beschränkung der Europäischen Union ist, wird in einer vernetzten Gesellschaft, in der physische Grenzen immer weniger Bedeutung haben, keinen umfassenden Schutz für die europäischen Datensubjekte bieten (siehe die in Nummer 6 genannten Beispiele): Die Informationen im Internet sind umfassend abrufbar, aber die Gerichtsbarkeit des europäischen Gesetzgebers ist beschränkt.

43.

Die Herausforderung wird darin bestehen, praktische Lösungen zu finden, die die Notwendigkeit des Schutzes der europäischen Datensubjekte mit den territorialen Beschränkungen der Europäischen Union und ihrer Mitgliedstaaten vereinbaren. Der EDSB hat die Kommission in seinen Bemerkungen zur Mitteilung der Kommission über eine Strategie für die externe Dimension des Raums der Freiheit, der Sicherheit und des Rechts bereits aufgefordert, eine proaktive Rolle bei der Förderung des Schutzes personenbezogener Daten auf internationaler Ebene zu übernehmen, und zwar durch die Unterstützung bilateraler und multilateraler Ansätze mit Drittländern und durch die Zusammenarbeit mit anderen internationalen Organisationen (18).

44.

Diese praktischen Lösungen umfassen Folgendes:

45.

Keine dieser Lösungen ist neu. Es bedarf jedoch einer Vision dafür, wie diese Methoden am wirksamsten genutzt werden können und wie gewährleistet werden kann, dass Datenschutzstandards — die in der Europäischen Union als Grundrechte gelten — auch in einer globalen vernetzten Gesellschaft wirksam sein können. Der EDSB ersucht die Kommission, zusammen mit den wichtigsten Beteiligten eine solche Vision zu entwickeln.

46.

Die Mitteilung behandelt ausführlich die Erfordernisse des öffentlichen Interesses, insbesondere in Bezug auf die Sicherheit. Sie erläutert Artikel 3 Absatz 2 der Richtlinie und dessen Auslegung durch den Gerichtshof im Urteil in der PNR-Rechtssache (19) sowie Artikel 13 der Richtlinie, unter anderem in Verbindung mit der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte. Die Mitteilung betont ferner, dass die Kommission bei ihrem Bemühen um ein Gleichgewicht zwischen Maßnahmen zur Gewährleistung der Sicherheit und unabdingbaren Grundrechten dafür Sorge trägt, dass personenbezogene Daten gemäß Artikel 8 der Europäischen Menschenrechtskonvention (EMRK) geschützt werden. Dieser Ausgangspunkt gilt auch für den transatlantischen Dialog mit den Vereinigten Staaten von Amerika.

47.

Nach Ansicht des EDSB ist es wichtig, dass die Kommission derart deutlich auf die Verpflichtung der Union nach Artikel 6 EUV zur Achtung der Grundrechte, wie sie in der EMRK gewährleistet sind, hinweist. Diese Feststellung ist umso wichtiger, als der Europäische Rat jetzt beschlossen hat, dass die Charta der Menschenrechte der Europäischen Union im Rahmen des Reformvertrags einen rechtlich bindenden Wert erhalten soll. In Artikel 8 der Charta heißt es, dass jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat.

48.

Es ist allgemein bekannt, dass die Nachfrage der Strafverfolgungsbehörden nach verstärkter Nutzung personenbezogener Daten zur Verbrechensbekämpfung — ganz abgesehen von der Terrorismusbekämpfung — die Gefahr einer Reduzierung des Schutzniveaus der Bürger birgt, das sogar unter das durch Artikel 8 der EMRK und/oder das Übereinkommen Nr. 108 des Europarates (20) garantierte Niveau absinken könnte. Diese Bedenken waren ein Hauptelement der am 27. April 2007 veröffentlichten dritten Stellungnahme des EDSB zu dem Vorschlag für einen Rahmenbeschluss des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden.

49.

In diesem Zusammenhang ist es von zentraler Bedeutung, dass das durch die Richtlinie gebotene Schutzniveau auch im Hinblick auf die Erfordernisse der Strafverfolgung als Grundlage für den Schutz der Bürger herangezogen wird. Die EMRK und das Übereinkommen Nr. 108 sehen ein Mindestmaß an Schutz vor, bieten aber nicht die erforderlichen Präzisierungen. Darüber hinaus waren zusätzliche Maßnahmen erforderlich, um einen angemessenen Schutz der Bürger zu gewährleisten. Dies war einer der Hauptbeweggründe für den Erlass der Richtlinie im Jahr 1995 (21).

50.

Genauso wichtig ist es, dass dieses Schutzniveau tatsächlich in allen Situationen gewährleistet ist, in denen personenbezogene Daten für die Zwecke der Strafverfolgung verarbeitet werden. Die Mitteilung behandelt zwar nicht die Datenverarbeitung im Rahmen der dritten Säule, sie befasst sich aber sehr wohl mit der Situation, in der Daten, die zu gewerblichen Zwecken gesammelt (und verarbeitet) wurden, für die Zwecke der Strafverfolgung genutzt werden. Diese Situation wird immer üblicher, da die Polizeiarbeit sich zunehmend auf die Verfügbarkeit von Informationen stützt, die im Besitz von Dritten sind. Die Richtlinie 2006/24/EG (22) kann als bestes Beispiel für diese Tendenz angeführt werden: Sie verpflichtet Anbieter elektronischer Kommunikationsdienste dazu, Daten, die sie für gewerbliche Zwecke gesammelt (und gespeichert) haben, für die Zwecke der Strafverfolgung (länger) zu speichern. Nach Ansicht des EDSB sollte umfassend gewährleistet werden, dass personenbezogene Daten, die im Rahmen des Anwendungsbereichs der Richtlinie gesammelt und verarbeitet werden, angemessen geschützt sind, wenn sie für die Zwecke des öffentlichen Interesses, insbesondere für Sicherheitszwecke oder die Terrorismusbekämpfung, genutzt werden. In einigen Fällen können diese Zwecke jedoch über den Anwendungsbereich der Richtlinie hinausgehen.

51.

Aus diesen Überlegungen ergeben sich die folgenden Empfehlungen an die Kommission:

52.

Die Kommission bringt in der Mitteilung die — enormen — Auswirkungen des Verfassungsvertrags auf den Bereich des Datenschutzes zur Sprache. Der Vertrag — jetzt der Reformvertrag — wird in der Tat von entscheidender Bedeutung in diesem Bereich sein. Der Vertrag bedeutet das Ende der Säulenstruktur, die Bestimmungen über den Datenschutz (derzeit Artikel 286 EGV) werden präzisiert und die Charta der Grundrechte der Union, die in ihrem Artikel 8 eine Bestimmung über den Datenschutz enthält, wird zu einem verbindlichen Instrument.

53.

Im Mandat für die Regierungskonferenz (RK) wird dem Datenschutz besondere Aufmerksamkeit geschenkt. In Nummer 19 Buchstabe f werden grundsätzlich drei Punkte festgelegt: Erstens werden die allgemeinen Vorschriften über den Datenschutz nicht die besonderen Vorschriften berühren, die im Titel betreffend die GASP (die derzeitige zweite Säule) erlassen werden; zweitens wird eine Erklärung zum Schutz personenbezogener Daten in den Bereichen polizeiliche und justizielle Zusammenarbeit in Strafsachen (die derzeitige dritte Säule) abgegeben, und drittens werden in die jeweiligen Protokolle spezifische Einträge über die Position der einzelnen Mitgliedstaaten aufgenommen (dieses Element bezieht sich im Wesentlichen auf die besondere Position des Vereinigten Königreichs bezüglich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen).

54.

Im Rahmen der RK muss das zweite Element (die Erklärung) näher spezifiziert werden. Die Folgen der Abschaffung der Säulenstruktur und die mögliche Anwendbarkeit der Richtlinie auf die polizeiliche und justizielle Zusammenarbeit in Strafsachen müssen gebührend erörtert werden, damit eine möglichst umfassende Anwendung der in der Richtlinie enthaltenen Datenschutzprinzipien gewährleistet wird. Weitere Einzelheiten zu dieser Frage sollten an dieser Stelle nicht erörtert werden. Der EDSB hat in einem Schreiben an den Präsidenten der RK Vorschläge für die Erklärung vorgelegt (25).

55.

Die Mitteilung nennt eine Reihe von Instrumenten und Maßnahmen, die für eine bessere Durchführung der Richtlinie künftig verwendet werden können. Der EDSB möchte dazu Stellung nehmen und darüber hinaus zusätzliche Instrumente sondieren, die nicht in der Mitteilung genannt werden.

56.

In einigen Fällen können spezifische Rechtsetzungsmaßnahmen auf EU-Ebene erforderlich sein. Insbesondere können sich sektorspezifische Rechtsvorschriften als notwendig erweisen, um die Prinzipien der Richtlinie an Fragen anzupassen, die durch bestimmte Technologien aufgeworfen werden, wie dies bei den Richtlinien über die Privatsphäre im Telekommunikationssektor der Fall war. Die Anwendung spezifischer Rechtsvorschriften sollte in Bereichen wie der RFID-Technologie sorgfältig erwogen werden.

57.

Das stärkste Instrument, das in der Mitteilung genannt wird, ist das Vertragsverletzungsverfahren. Die Mitteilung bezieht sich dabei auf einen spezifischen Bereich, nämlich die Unabhängigkeit der Datenschutzbehörden und ihre Befugnisse; andere Bereiche werden nur allgemein erwähnt. Der EDSB teilt die Ansicht, dass das Vertragsverletzungsverfahren ein zentrales und unverzichtbares Instrument ist, wenn Mitgliedstaaten nicht für eine umfassende Umsetzung der Richtlinie sorgen, insbesondere angesichts der Tatsache, dass seit der Frist für die Umsetzung der Richtlinie fast neun Jahre verstrichen sind und dass der im Arbeitsprogramm festgelegte strukturierte Dialog bereits stattgefunden hat. Bislang ist jedoch noch kein Verfahren wegen Verletzung der Richtlinie 95/46/EG vor dem Gerichtshof anhängig.

58.

Eine vergleichende Analyse sämtlicher Fälle, in denen eine falsche oder unvollständige Umsetzung vermutet wird (26), sowie eine Mitteilung zur Auslegung können die Rolle der Kommission als Hüterin der Verträge mit Sicherheit kohärenter gestalten. Die Erstellung dieser Instrumente, die viel Zeit und Arbeit erfordern könnte, sollte Vertragsverletzungsverfahren in den Bereichen, in denen die Kommission eine falsche Umsetzung oder Praxis bereits eindeutig festgestellt hat, jedoch nicht verzögern.

59.

Daher fordert der EDSB die Kommission auf, eine bessere Durchführung der Richtlinie erforderlichenfalls durch Vertragsverletzungsverfahren anzustreben. Der EDSB wird in diesem Zusammenhang von seiner Interventionsbefugnis vor dem Gerichtshof Gebrauch machen, um gegebenenfalls Vertragsverletzungsverfahren im Zusammenhang mit der Umsetzung der Richtlinie 95/46/EG oder anderen Rechtsinstrumenten im Bereich des Schutzes personenbezogener Daten beizutreten.

60.

Die Mitteilung erwähnt auch eine Mitteilung zur Auslegung einiger Bestimmungen, in der die Kommission ihre Sicht von Bestimmungen der Richtlinie erläutern wird, deren Umsetzung sie für problematisch hält und die daher zu Vertragsverletzungsverfahren führen können. Der EDSB begrüßt es, dass die Kommission in diesem Zusammenhang die Arbeiten der Gruppe zur Auslegung berücksichtigen wird. Es ist in der Tat von entscheidender Bedeutung, dass der Position der Gruppe bei der Erstellung der Mitteilung zur Auslegung gebührend Rechnung getragen wird, und die Gruppe umfassend konsultiert wird, damit ihre Erfahrungen in die Anwendung der Richtlinie auf nationaler Ebene einfließen können.

61.

Der EDSB bekräftigt ferner, dass er bereit ist, die Kommission in allen Fragen bezüglich des Schutzes personenbezogener Daten zu beraten. Dies gilt auch für die Instrumente — wie z.B. Mitteilungen der Kommission —, die nicht verbindlich sind, die aber nichtsdestoweniger darauf abzielen, die Politik der Kommission im Bereich des Schutzes personenbezogener Daten zu bestimmen. Im Falle von Mitteilungen sollte die Anhörung des EDSB vor der Annahme der Mitteilung zur Auslegung erfolgen, damit er seine beratende Rolle wirksam ausüben kann (27). Die beratende Rolle sowohl der Datenschutzgruppe gemäß Artikel 29 als auch des EDSB wird einen zusätzlichen Nutzen für diese Mitteilung bieten und gleichzeitig die Unabhängigkeit der Kommission in Bezug auf eine autonome Entscheidung über die förmliche Einleitung eines Vertragsverletzungsverfahrens bezüglich der Umsetzung der Richtlinie gewährleisten.

62.

Der EDSB begrüßt, dass die Mitteilung sich nur mit einer begrenzten Zahl von Artikeln befasst und somit eine gezielte Ausrichtung auf die empfindlicheren Punkte ermöglicht. In diesem Zusammenhang möchte der EDSB die Aufmerksamkeit der Kommission auf die folgenden Punkte lenken, die in der Mitteilung zur Auslegung besondere Beachtung finden sollten:

63.

Andere, nicht verbindliche Instrumente sollten proaktiv auf die Einhaltung der Datenschutzprinzipien, insbesondere im Umfeld der neuen Technologien, hinwirken. Diese Maßnahmen sollten auf dem Konzept „privacy by design“ („mit eingebautem Datenschutz“) aufbauen und somit gewährleisten, dass bei der Entwicklung und Gestaltung der Architektur neuer Technologien den Datenschutzprinzipien gebührend Rechnung getragen wird. Die Förderung von die Privatsphäre achtenden technologischen Produkten sollte ein zentrales Element in einem Kontext sein, in dem die Datenverarbeitung allgegenwärtig ist und sich rasant weiterentwickelt.

64.

Eng damit verbunden ist die Notwendigkeit, die Palette der Beteiligten an der Durchsetzung der Datenschutzgesetze zu erweitern. Einerseits unterstützt der EDSB nachdrücklich die grundlegende Rolle der Datenschutzbehörden bei der Durchsetzung der Prinzipien der Richtlinie unter umfassender Nutzung ihrer Befugnisse sowie des Koordinierungsspielraums im Rahmen der Datenschutzgruppe gemäß Artikel 29. Eine wirksamere Durchsetzung der Richtlinie ist auch eines der Ziele der „Londoner Initiative“.

65.

Andererseits unterstreicht der EDSB, dass die private Durchsetzung der Datenschutzprinzipien durch Selbstregulierung und Wettbewerb gefördert werden sollte. Die Industrie sollte ermutigt werden, die Datenschutzprinzipien umzusetzen und den Wettbewerb bei der Entwicklung von die Privatsphäre achtenden Produkten und Dienstleistungen als Mittel zur Erweiterung ihrer Marktposition zu nutzen, indem sie den Erwartungen der Verbraucher, die großen Wert auf Privatsphäre legen, besser entspricht. Ein gutes Beispiel in diesem Zusammenhang sind Datenschutzgütesiegel, die für Produkte und Dienstleistungen vergeben werden könnten, die einem Zertifizierungsverfahren unterzogen wurden (29).

66.

Der EDSB möchte die Kommission ferner auf andere Instrumente aufmerksam machen, die in der Mitteilung zwar nicht genannt sind, jedoch für eine bessere Durchführung der Richtlinie von Nutzen sein könnten. Beispiele für solche Instrumente, auf die die Datenschutzbehörden im Hinblick auf eine bessere Durchsetzung der Datenschutzgesetze zurückgreifen könnten, sind

67.

Schließlich möchte der EDSB auf andere Instrumente hinweisen, die in der Mitteilung nicht genannt sind, die aber für eine künftige Änderung der Richtlinie in Erwägung gezogen oder in andere horizontale Rechtsvorschriften aufgenommen werden könnten, insbesondere auf Folgendes:

68.

Die verschiedenen institutionellen Akteure haben Verantwortlichkeiten bezüglich der Umsetzung der Richtlinie. Die Kontrollstellen in den Mitgliedstaaten sind nach Artikel 28 der Richtlinie beauftragt, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zu überwachen. Artikel 29 sieht die Einsetzung der Datenschutzgruppe vor, während Artikel 30 deren Aufgaben auflistet. Gemäß Artikel 31 unterstützt ein Ausschuss von Vertretern der Regierungen der Mitgliedstaaten die Kommission bei der Durchführung von Maßnahmen auf Gemeinschaftsebene (Ausschussverfahren).

69.

Insbesondere im Hinblick auf die (Tätigkeiten der) Datenschutzgruppe müssen die Verantwortlichkeiten der verschiedenen Akteure genauer bestimmt werden. Artikel 30 Absatz 1 nennt vier Aufgaben der Gruppe, die wie folgt zusammengefasst werden können: Prüfung der Anwendung der Richtlinie auf einzelstaatlicher Ebene im Hinblick auf Einheitlichkeit und Abgabe von Stellungnahmen zu den Entwicklungen auf Gemeinschaftsebene sowie Schutzniveau, Rechtsetzungsvorschläge und Verhaltensregeln. Diese Liste zeigt die breit gefasste Verantwortlichkeit der Gruppe im Bereich des Datenschutzes, die durch die von der Gruppe im Laufe der Jahre erstellten Dokumente weiter veranschaulicht wird.

70.

Gemäß der Mitteilung spielt die Gruppe „eine Schlüsselrolle im Hinblick auf eine bessere und kohärentere Umsetzung der Richtlinie“. Der EDSB unterstützt diese Aussage uneingeschränkt, hält es aber auch für erforderlich, einige spezifische Elemente der Verantwortlichkeiten klarzustellen.

71.

Erstens wird in der Mitteilung nachdrücklich eine Verbesserung des Beitrags der Gruppe dahin gehend gefordert, dass die einzelstaatlichen Behörden bestrebt sein sollten, ihre Praxis im eigenen Land der gemeinsamen Linie anzupassen (30). Der EDSB begrüßt die Absicht dieser Aussage, warnt jedoch vor einer Vermischung der Verantwortlichkeiten. Nach Artikel 211 EGV ist es Aufgabe der Kommission, die Einhaltung in den Mitgliedstaaten zu überwachen, einschließlich der Einhaltung durch die Kontrollstellen. Die Gruppe kann als unabhängiges Beratungsgremium nicht für die Anwendung ihrer Stellungnahmen durch die einzelstaatlichen Behörden verantwortlich gemacht werden.

72.

Zweitens muss sich die Kommission ihrer unterschiedlichen Aufgaben innerhalb der Gruppe bewusst sein, da sie nicht nur ein Mitglied der Gruppe ist, sondern auch deren Sekretariat übernimmt. In Ausübung ihrer Rolle als Sekretariat muss sie die Gruppe in einer Weise unterstützen, dass diese ihre Arbeit unabhängig ausüben kann. Daraus ergeben sich grundsätzlich zwei Dinge: Die Kommission muss die erforderlichen Ressourcen bereitstellen, und das Sekretariat ist im Hinblick auf Inhalt und Umfang der Tätigkeiten der Gruppe sowie auf die Art ihrer Ergebnisse den Weisungen der Gruppe und ihres Vorsitzenden unterstellt. Allgemeiner formuliert, sollten die Tätigkeiten der Kommission in Erfüllung ihrer sonstigen Pflichten nach dem EG-Recht ihre Verfügbarkeit als Sekretariat nicht beeinträchtigen.

73.

Drittens könnte die Kommission — auch wenn die Gruppe selbst für die Festlegung ihrer Prioritäten zuständig ist — angeben, was sie von der Gruppe erwartet und wie die verfügbaren Ressourcen ihrer Ansicht nach am besten eingesetzt werden können.

74.

Viertens bedauert der EDSB, dass die Mitteilung keine klaren Angaben über die Aufgabenverteilung zwischen Kommission und Gruppe enthält. Er ersucht die Kommission, der Gruppe ein Papier mit den entsprechenden Angaben vorzulegen. Der EDSB schlägt vor, folgende Punkte in dieses Papier aufzunehmen:

75.

Der EDSB teilt die zentrale Schlussfolgerung der Kommission, dass die Richtlinie auf kurze Sicht nicht geändert werden sollte. Diese Schlussfolgerung könnte verstärkt werden, indem sie zusätzlich auf die Art der Richtlinie und die Rechtsetzungspolitik der Union gestützt wird.

76.

Der EDSB stützt sich auf die folgenden Ausgangspunkte:

77.

Die wesentlichen Elemente für künftige Änderungen sind Folgende:

78.

Der EDSB empfiehlt, dass die Kommission folgende Elemente spezifiziert: einen Zeitplan für die Tätigkeiten nach Kapitel 3 der Mitteilung; eine Frist für einen nachfolgenden Bericht über die Anwendung der Richtlinie; ein Mandat für die Bewertung der Durchführung der vorgesehenen Tätigkeiten; Angaben über das längerfristige Vorgehen.

79.

Der EDSB begrüßt den Ansatz bezüglich Technologie als wichtigen ersten Schritt und empfiehlt, die Erörterungen über ein langfristiges Konzept aufzunehmen, wozu unter anderem eine grundlegende Debatte über die Entwicklung einer Überwachungsgesellschaft gehört. Er begrüßt ferner die laufende Überprüfung der Richtlinie 2002/58/EG und den etwaigen Bedarf an spezifischen Regeln zur Klärung von Datenschutzfragen, die durch neue Technologien wie Internet und RFID aufgeworfen werden. Diese Maßnahmen sollten den dynamischen Kontext in seiner Gesamtheit berücksichtigen und auf lange Sicht auch die Richtlinie 95/46/EG einbeziehen.

80.

Der EDSB bedauert, dass die Perspektive der globalen Privatsphäre und der Gerichtsbarkeit nur eine begrenzte Rolle in der Mitteilung spielt, und er fordert praktische Lösungen, die die Erfordernisse des Schutzes der europäischen Datensubjekte mit den territorialen Beschränkungen der Europäischen Union und ihrer Mitgliedstaaten vereinbaren, wie etwa: Weiterentwicklung eines globalen Rahmens für den Datenschutz; Weiterentwicklung der Sonderregelung für die Übermittlung von Daten in Drittländer; internationale Vereinbarungen über Gerichtsbarkeit oder ähnliche Vereinbarungen mit Drittländern; Investitionen in Mechanismen für die globale Einhaltung der Regeln, wie z.B. Anwendung verbindlicher unternehmensinterner Vorschriften durch multinationale Unternehmen.

Der EDSB ersucht die Kommission, zusammen mit den wichtigsten Beteiligten eine Vision zu dieser Perspektive zu entwickeln.

81.

Zur Frage der Strafverfolgung empfiehlt der EDSB der Kommission Folgendes:

82.

Die umfassende Umsetzung der Richtlinie bedeutet, 1) dass gewährleistet sein muss, dass die Mitgliedstaaten ihren Verpflichtungen nach europäischem Recht uneingeschränkt nachkommen, und 2) dass andere, nicht verbindliche Instrumente, die zu einem hohen und harmonisierten Datenschutzniveau führen könnten, umfassend genutzt werden. Der EDSB ersucht die Kommission, klar anzugeben, wie sie die verschiedenen Instrumente nutzen wird und wie sie ihre eigenen Verantwortlichkeiten von denen der Datenschutzgruppe trennt.

83.

Bezüglich dieser Instrumente empfiehlt der EDSB Folgendes:

84.

Der EDSB ersucht die Kommission, der Gruppe ein Papier mit klaren Angaben über die Rollenaufteilung zwischen der Kommission und der Gruppe mit folgenden Elementen vorzulegen:

85.

Die Auswirkungen des Reformvertrags müssen gebührend berücksichtigt werden, damit eine möglichst umfassende Anwendung der in der Richtlinie enthaltenen Datenschutzprinzipien gewährleistet wird. Der EDSB hat in einem Schreiben an den Präsidenten der RK Vorschläge unterbreitet.