23.3.2010   

DE

Amtsblatt der Europäischen Union

C 73/1

1.

Die Kommission hat am 27. Juli 2009 einen Vorschlag für eine Verordnung des Rates über die Anwendung bestimmter spezifischer restriktiver Maßnahmen gegen bestimmte natürliche und juristische Personen, Organisationen und Einrichtungen aufgrund der Lage in Somalia sowie einen Vorschlag für eine Verordnung des Rates zur Änderung der Verordnung (EG) Nr. 314/2004 des Rates über bestimmte restriktive Maßnahmen gegenüber Simbabwe angenommen. Am 18. September 2009 hat die Kommission zudem einen Vorschlag für eine Verordnung des Rates zur Änderung der Verordnung (EG) Nr. 329/2007 des Rates über restriktive Maßnahmen gegen die Demokratische Volksrepublik Korea angenommen. Darüber hinaus hat sie am 23. November 2009 einen Vorschlag für eine Verordnung des Rates zur Einführung bestimmter restriktiver Maßnahmen gegenüber Guinea angenommen. Alle diese Vorschläge wurden dem Europäischen Datenschutzbeauftragten (nachstehend „EDSB“ genannt) von der Kommission zwecks Konsultation gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 übermittelt. Der EDSB weist darauf hin, dass er bereits informelle Bemerkungen zu den Entwürfen für diese Vorschläge sowie zu anderen Vorschlagsentwürfen zur Änderung analoger Verordnungen des Rates über das Einfrieren von Geldern und die Anwendung anderer restriktiver Maßnahmen übermittelt hat.

2.

Der EDSB begrüßt es, dass er konsultiert wird und dass im Einleitungsteil der Vorschläge, wie schon in verschiedenen anderen Rechtstexten, zu denen er gemäß der Verordnung (EG) Nr. 45/2001 konsultiert wurde, auf diese Konsultation hingewiesen wird.

3.

Alle genannten Vorschläge zielen darauf ab, durch Änderung geltender Rechtsvorschriften oder durch Vorlage neuer Rechtsakte gegen Terrorismus oder Menschenrechtsverletzungen vorzugehen, indem restriktive Maßnahmen — namentlich das Einfrieren von Vermögenswerten und Reiseverbote — gegen natürliche und juristische Personen, die im Verdacht stehen, mit Terrororganisationen und/oder bestimmten Regierungen in Verbindung zu stehen, verhängt werden. Vor diesem Hintergrund veröffentlicht die Europäische Kommission „schwarze Listen“ natürlicher oder juristischer Personen, gegen die restriktive Maßnahmen verhängt wurden, und macht diese Listen publik.

4.

Der EDSB hat bereits am 28. Juli 2009 eine Stellungnahme zu dem Vorschlag für eine Verordnung des Rates zur Änderung der Verordnung (EG) Nr. 881/2002 über die Anwendung bestimmter spezifischer restriktiver Maßnahmen gegen bestimmte Personen und Organisationen, die mit Osama bin Laden, dem Al-Qaida-Netzwerk und den Taliban in Verbindung stehen (im Folgenden: „Al-Qaida-Vorschlag“), vorgelegt. In dieser Stellungnahme hat der EDSB die Absicht der Kommission begrüßt, für einen besseren Schutz der Grundrechte, einschließlich des Schutzes personenbezogener Daten, zu sorgen, und empfohlen, bestimmte Elemente des Vorschlags abzuändern und/oder eindeutiger zu regeln, um den wesentlichen Datenschutzgrundsätzen der EU gerecht zu werden. Der EDSB hat die weiteren Verhandlungen über den Al-Qaida-Vorschlag im Rat (3) aufmerksam verfolgt und bedauert, dass zahlreiche Bestimmungen, die den Schutz personenbezogener Daten zum Gegenstand haben, gestrichen oder erheblich gekürzt wurden.

5.

Die bereits in der genannten Stellungnahme vorgebrachten Bemerkungen behalten ihre Gültigkeit; die meisten von ihnen lassen sich bis zu einem gewissen Grad auch auf die vorliegenden Vorschläge anwenden, die in zahlreichen Bestimmungen dem Al–Qaida–Vorschlag entsprechen. In der vorliegenden Stellungnahme wird der EDSB sich unter Berücksichtigung aller Vorschläge, zu denen er bislang konsultiert wurde, sowie des Fortgangs der Verhandlungen im Rat mit der Anwendung der Datenschutzgrundsätze auf dem Gebiet der restriktiven Maßnahmen befassen und Empfehlungen für Verbesserungen aussprechen. Diese Empfehlungen werden auch dem Inkrafttreten des Vertrags von Lissabon und den wichtigen politischen Orientierungen, die in dem kürzlich angenommenen Stockholmer Programm (4) enthalten sind, Rechnung tragen. Dieser Ansatz wird es dem EDSB ermöglichen, weitere Stellungnahmen zu Gesetzgebungsvorschlägen auf diesem Gebiet nur dann abzugeben, wenn diese neuen Vorschläge wesentlich von den derzeitigen Vorschlägen abweichen.

6.

In der vorliegenden Stellungnahme werden die Aspekte der restriktiven Maßnahmen im Mittelpunkt stehen, die direkt mit dem Schutz personenbezogener Daten in Verbindung stehen, und insbesondere die Aspekte, deren Präzisierung der EDSB empfiehlt, um für Rechtssicherheit zu sorgen und die Wirksamkeit der Maßnahmen sicherzustellen. Andere inhaltliche Fragen, die sich im Zusammenhang mit der Aufnahme in eine Liste aufgrund der Anwendung anderer Vorschriften stellen können, werden in der vorliegenden Stellungnahme nicht behandelt und bleiben davon unberührt.

7.

Mit den Vorschlägen der Kommission soll der Rechtsprechung des Gerichtshofs Rechnung getragen werden, in der mehrfach bestätigt wurde, dass die EU–Standards für den Schutz der Grundrechte einzuhalten sind, unabhängig davon, ob die restriktiven Maßnahmen auf EU-Ebene beschlossen wurden oder von internationalen Organisationen wie beispielsweise den Vereinten Nationen ausgehen (5).

8.

Die EU-Grundrechte erstrecken sich auch auf das Recht auf Schutz der personenbezogenen Daten, das — wie der Gerichtshof festgestellt hat — zu den Grundsätzen zählt, die sich aus Artikel 6 Absatz 2 EUV ergeben und in Artikel 8 der EU-Grundrechtecharta bekräftigt wurden (6). Im Kontext restriktiver Maßnahmen spielt das Recht auf Schutz der personenbezogenen Daten eine entscheidende Rolle, da es auch der effektiven Achtung anderer Grundrechte, wie des Rechts auf Verteidigung, des Anspruchs auf rechtliches Gehör und des Anspruchs auf effektiven Rechtsschutz, förderlich ist.

9.

In dieser Hinsicht begrüßt der EDSB, wie schon in seiner Stellungnahme vom 28. Juli 2009 zu restriktiven Maßnahmen gegen Al–Qaida, dass die Kommission beabsichtigt, den geltenden rechtlichen Rahmen durch ein strengeres Verfahren für die Aufnahme in die Liste und durch die ausdrückliche Berücksichtigung des Rechts auf Schutz der personenbezogener Daten zu verbessern. Restriktive Maßnahmen stützen sich auf die Verarbeitung personenbezogener Daten, die als solche — unabhängig davon, ob Vermögenswerte eingefroren werden — den Datenschutzvorschriften und -garantien unterliegen müssen. Daher ist es äußerst wichtig, für Klarheit und Rechtssicherheit in Bezug auf die Vorschriften zu sorgen, die auf die Verarbeitung von personenbezogenen Daten der bereits in Listen geführten Personen anzuwenden sind, auch im Hinblick darauf, dass die Rechtmäßigkeit und die Legitimität der restriktiven Maßnahmen sichergestellt sein müssen.

10.

Im Stockholmer Programm wird ausgeführt, dass „das Recht auf Freiheit als übergreifend anzusehen“ [ist], „[w]enn es gilt, das Recht auf Schutz der Privatsphäre im Raum der Freiheit, der Sicherheit und des Rechts zu bewerten,“ und dass die EU für die Anwendung der Datenschutzgrundsätze innerhalb der Europäischen Union und in ihren Beziehungen zu Drittstaaten eintreten sollte.

11.

Durch das Inkrafttreten des Vertrags von Lissabon wird der rechtliche Rahmen in diesem Bereich verbessert. Zum einen werden durch den Vertrag zwei neue Rechtsgrundlagen festgelegt (Artikel 75 und Artikel 215 AEUV), die es der Europäischen Union ermöglichen, restriktive Maßnahmen gegen natürliche oder juristische Personen, Vereinigungen und nicht-staatliche Organisationen zu verhängen. Zum anderen wird durch Artikel 16 AEUV und Artikel 39 EUV das Recht auf Datenschutz und die Notwendigkeit von Datenschutzvorschriften und -garantien in allen Tätigkeitsbereichen der Europäischen Union bestätigt, und die Charta der Grundrechte der Europäischen Union erhält verbindlichen Charakter. Im Stockholmer Programm wird diesbezüglich ausdrücklich festgestellt, dass „dies die Verpflichtung der Union, einschließlich ihrer Organe, [stärkt] sicherzustellen, dass in sämtlichen ihrer Tätigkeitsbereiche die Grundrechte aktiv vorangebracht werden“ (7).

12.

Insbesondere im Hinblick auf die Verarbeitung personenbezogener Daten durch die Organe der EU gilt Artikel 16 AEUV für sämtliche Maßnahmen der EU einschließlich der Gemeinsamen Außen- und Sicherheitspolitik, während in Artikel 39 EUV ein abweichendes Beschlussfassungsverfahren im Hinblick auf die Verarbeitung personenbezogener Daten vorgesehen ist, die im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik durch die Mitgliedstaaten durchgeführt wird. Darüber hinaus erhält der Gerichtshof die uneingeschränkte Zuständigkeit für die Überprüfung der Rechtmäßigkeit — insbesondere hinsichtlich der Grundrechte — von Beschlüssen über restriktive Maßnahmen gegen natürliche oder juristische Personen; diese Zuständigkeit erstreckt sich sogar auf die Gemeinsame Außen- und Sicherheitspolitik (Artikel 275 AEUV).

13.

Durch den im Vertrag von Lissabon vorgesehenen Beitritt der EU zur Europäischen Menschenrechtskonvention erhalten darüber hinaus der vom Europarat im Hinblick auf das Erstellen schwarzer Listen vertretene Standpunkt (8) und die ständige Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte noch mehr Bedeutung für den Rechtsrahmen der EU.

14.

Vor diesem Hintergrund kommt Artikel 8 der Charta der Grundrechte eine besondere Bedeutung zu, insbesondere, wenn es dort heißt, dass personenbezogene Daten nur auf einer gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen und dass „jede Person […] das Recht [hat], Auskunft über die sie betreffenden erhobenen Daten zu erhalten.“ Diese grundlegenden Aspekte des Datenschutzes müssen bei allen von der EU ergriffenen Maßnahmen beachtet werden, und für Einzelpersonen besteht sogar die Möglichkeit, die direkte Wirkung der durch diesen Artikel zuerkannten Rechte einzufordern, unabhängig davon, ob diese Rechte im abgeleiteten EU-Recht ausdrücklich anerkannt wurden oder nicht.

15.

Der neue Rechtsrahmen, der durch das Inkrafttreten des Vertrags von Lissabon entstanden ist, hat dem Gesetzgeber die Mittel an die Hand gegeben und die Pflicht auferlegt, umfassende und in sich schlüssige Regelungen für den Schutz personenbezogener Daten — auch im Bereich der restriktiven Maßnahmen — zu treffen. Dieser Pflicht kommt angesichts der Tatsache, dass derartige Maßnahmen, die weitreichende Konsequenzen für die betroffenen Personen haben, immer häufiger und für immer längere Zeiträume verhängt werden, eine wachsende Bedeutung zu.

16.

Angesichts dessen empfiehlt der EDSB der Kommission nachdrücklich, ihr bisheriges unsystematisches Vorgehen, das dazu geführt hat, dass je nach Land oder Organisation spezifische und manchmal unterschiedliche Vorschriften für die Verarbeitung personenbezogener Daten verabschiedet wurden, einzustellen und einen allgemeinen, in sich schlüssigen Rahmen für alle von der EU gegen natürliche oder juristische Personen, Organisationen oder Einrichtungen verhängten gezielten Sanktionen vorzuschlagen, durch den die Achtung der Grundrechte der betroffenen Personen, und insbesondere des grundlegenden Rechts auf Schutz der personenbezogenen Daten, sichergestellt wird. Notwendige Einschränkungen dieser Rechte sollten eindeutig gesetzlich geregelt werden, verhältnismäßig sein und in jedem Fall den Wesensgehalt dieser Rechte achten.

17.

Nach Ansicht des EDSB sollten diese Bemühungen parallel mit der Verwirklichung des vom Europäischen Rat im Stockholmer Programm festgelegten Ziels laufen, „auf eine bessere Gestaltung, Anwendung und Wirksamkeit von Sanktionen des VN-Sicherheitsrates [hinzuarbeitet], damit die Grundrechte gewahrt und faire und klare Verfahren sichergestellt werden.“ (9)

18.

In den nachstehenden Absätzen, die die Analyse der vorliegenden Vorschläge zum Gegenstand haben, werden nicht nur Empfehlungen zur Verbesserung der in diesen Vorschlägen enthaltenen Bestimmungen ausgesprochen, sondern auch die Aspekte des Datenschutzes herausgestellt, die gegenwärtig nicht berücksichtigt werden, für die der EDSB aber empfiehlt, sie entweder in den besagten Rechtsakten oder in einem allgemeiner gefassten Rahmen näher zu spezifizieren.

19.

Wie bereits in der Stellungnahme des EDSB vom 28. Juli 2009 ausgeführt, gelten die in der Verordnung (EG) Nr. 45/2001 niedergelegten Datenschutzvorschriften für die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der EU im Bereich der restriktiven Maßnahmen, selbst wenn diese Maßnahmen von internationalen Organisationen ausgehen oder in Gemeinsamen Standpunkten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik angenommen wurden.

20.

Vor diesem Hintergrund begrüßt der EDSB, dass in den vorliegenden Vorschlägen Bezugnahmen auf die Anwendbarkeit der Verordnung (EG) Nr. 45/2001 ebenso enthalten sind wie Bezugnahmen auf die sich daraus ergebenden Rechte der betroffenen Person. Er bedauert jedoch, dass im Verlauf der Verhandlungen über die restriktiven Maßnahmen gegen Al-Qaida einige dieser Bezugnahmen gestrichen wurden.

21.

In diesem Zusammenhang möchte der EDSB hervorheben, dass durch diese Streichungen die Anwendbarkeit der in den Rechtsakten nicht mehr ausdrücklich erwähnten Pflichten und Rechte der betroffenen Person weder aufgehoben noch beschränkt wird. Dennoch ist der EDSB der Auffassung, dass durch die ausdrückliche Erwähnung und Berücksichtigung der Datenschutzaspekte in einem Rechtsakt über restriktive Maßnahmen nicht nur der Schutz der Grundrechte verbessert, sondern auch verhindert wird, dass heikle Fragen nicht hinreichend geregelt sind und deshalb vor Gericht geklärt werden müssen.

22.

Aus genereller Sicht weist der EDSB nachdrücklich darauf hin, dass nach Artikel 8 der EU-Charta der Grundrechte „jede Person […] das Recht auf Schutz der sie betreffenden personenbezogenen Daten [hat]“. Dieses Grundrecht sollte deshalb in der Europäischen Union garantiert werden, und zwar unabhängig von der Staatsangehörigkeit, dem Wohnort oder der beruflichen Tätigkeit der betroffenen Personen. Dies bedeutet, dass Einschränkungen dieses Rechtes zwar im Rahmen restriktiver Maßnahmen durchaus notwendig sein können, dass dieses Recht jedoch nicht grundsätzlich oder pauschal für bestimmte Personengruppen, wie beispielsweise Personen, die mit der Regierung eines Drittstaats in Verbindung stehen, ausgeschlossen werden kann.

23.

Gemäß den geltenden Datenschutzvorschriften (Artikel 4 der Verordnung (EG) Nr. 45/2001) dürfen personenbezogene Daten nur nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden, für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; ferner müssen sie den Zwecken entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erheblich sein und nicht darüber hinausgehen. Außerdem müssen personenbezogene Daten sachlich richtig sein und auf dem neuesten Stand gehalten werden: Es sind alle angemessenen Maßnahmen zu treffen, damit unrichtige oder unvollständige Daten gelöscht oder berichtigt werden. Darüber hinaus dürfen personenbezogene Daten nur so lange, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betreffenden Personen ermöglicht.

24.

Der EDSB begrüßt, dass in allen Vorschlägen der Kommission (10) die Kategorien der personenbezogenen Daten, die im Rahmen der restriktiven Maßnahmen verarbeitet werden, ausdrücklich festgelegt werden und die Verarbeitung von personenbezogenen Daten, die Straftaten, strafrechtliche Verurteilungen und Sicherungsmaßregeln betreffen, ausdrücklich geregelt wird.

25.

Vor diesem Hintergrund begrüßt der EDSB den Grundsatz in Artikel 7 Absatz 3 des Al-Qaida-Vorschlags, wonach die Vor- und Nachnamen der Eltern einer natürlichen Person nur dann in den Anhang aufgenommen werden können, wenn diese Angaben in einem bestimmten Fall zu dem ausschließlichen Zweck erforderlich sind, die Identität der betreffenden in der Liste aufgeführten natürlichen Person zu überprüfen. Diese Bestimmung trägt auch dem Datenschutzgrundsatz der Zweckbindung hinreichend Rechnung, wonach personenbezogene Daten nur für bestimmte Zwecke erhoben und nicht zweckwidrig weiterverarbeitet werden dürfen.

26.

Damit sichergestellt ist, dass dieser Grundsatz im Hinblick auf jede Verarbeitung personenbezogener Daten in diesem Bereich in angemessener Form spezifiziert und angewendet wird, empfiehlt der EDSB ausdrücklich, diesen Grundsatz auf alle Kategorien von Daten anzuwenden, indem die einschlägigen Artikel so geändert werden, dass der Anhang, in dem die Personen aufgeführt sind, „lediglich die Informationen umfasst, die für die Überprüfung der Identität der aufgeführten natürlichen Personen erforderlich sind, keinesfalls jedoch mehr als die folgenden Angaben:“. Durch diese Änderung könnte vermieden werden, dass unnötige Informationen über die in den Listen geführten natürlichen Personen und ihre Familien erhoben und veröffentlicht werden.

27.

Darüber hinaus schlägt der EDSB vor, in den Vorschlägen ausdrücklich festzulegen, dass personenbezogene Daten gelöscht oder anonymisiert werden, sobald sie in jedem Einzelfall nicht länger für die Durchführung der restriktiven Maßnahmen oder für vor dem Gerichtshof anhängige Verfahren erforderlich sind.

28.

In den vorliegenden Vorschlägen werden im Hinblick auf die Verpflichtung, die sachliche Richtigkeit personenbezogener Daten zu gewährleisten und die Daten auf dem neuesten Stand zu halten, unterschiedliche Ansätze verfolgt. In dem Vorschlag zu Somalia, der den Al-Qaida-Vorschlag widerspiegelt, wird in Artikel 11 Absatz 4 festgelegt, dass die Kommission die EU-Liste entsprechend ändert, wenn die Vereinten Nationen beschließen, eine Person von der Liste zu streichen. In dem Vorschlag bezüglich der Demokratischen Volksrepublik Korea ist in Artikel 6 Absatz 2 stattdessen vorgesehen, dass die EU-Liste in regelmäßigen Abständen und mindestens alle zwölf Monate überprüft wird. Die anderen Vorschläge enthalten keine Bezugnahme auf derartige Änderungs- oder Überprüfungsmechanismen.

29.

Dennoch ist bei allen Listen der EU, unabhängig von dem Land, gegen das sie gerichtet sind und unabhängig davon, ob sie direkt auf EU-Ebene oder zur Umsetzung von Beschlüssen der Vereinten Nationen verabschiedet wurden, der Grundsatz der Datenqualität zu achten, dem im Bereich der restriktiven Maßnahmen entscheidende Bedeutung zukommt. Wie das Gericht erster Instanz kürzlich darlegte (11), sollte bei restriktiven Maßnahmen, die auf polizeilichen oder sicherheitsdienstlichen Ermittlungen basieren, bei der Überprüfung der Listen der weiteren Entwicklung dieser Ermittlungen — beispielsweise der Einstellung des Ermittlungsverfahrens, der Einstellung der Strafverfolgung oder dem Freispruch in einem Strafverfahren — in angemessener Weise Rechnung getragen werden, um zu vermeiden, dass die Gelder einer Person außerhalb jeder gerichtlichen Kontrolle und unabhängig vom Ausgang etwa durchgeführter Gerichtsverfahren unbegrenzt eingefroren würden.

30.

Vor diesem Hintergrund empfiehlt der EDSB, bei allen vorliegenden und künftigen Vorschlägen in diesem Bereich wirksame Regelungen zur Streichung natürlicher Personen von der Liste und zur regelmäßigen Überprüfung der EU-Listen anzuwenden.

31.

Der EDSB hat in seiner Stellungnahme vom 28. Juli 2009 die Absicht der Kommission begrüßt, den Grundrechteschutz zu verstärken, indem vorgesehen wird, dass betroffene Personen über die Gründe für ihre Aufnahme in eine Liste in Kenntnis zu setzen sind und dass ihnen Gelegenheit zur Stellungnahme gegeben werden muss. In den Texten zu Somalia (12) und Guinea (13) wird nun eine entsprechende Bestimmung vorgeschlagen, während in dem Vorschlag zu Simbabwe (14) das Recht auf Mitteilung der Gründe für die Aufnahme in die Liste und das Recht auf Stellungnahme dazu auf die Personen beschränkt wird, die nicht mit der Regierung in Verbindung stehen. In dem Vorschlag zur Demokratischen Volksrepublik Korea wird diese Möglichkeit nicht einmal erwähnt.

32.

Der EDSB erinnert daran, dass nach Artikel 11 und Artikel 12 der Verordnung (EG) Nr. 45/2001 die Pflicht zur Information der betroffenen Person besteht, wobei Artikel 12 insbesondere darauf abstellt, welche Informationen einer betroffenen Person zu übermitteln sind, wenn die Daten nicht bei dieser erhoben wurden. Diese Bestimmungen sind auf alle Personen anzuwenden, unabhängig von ihrer Staatsangehörigkeit oder ihrer Verbindungen zur Regierung eines bestimmten Landes. Natürlich bestehen verschiedene Möglichkeiten, die in einer Liste aufgeführten Personen zu informieren, und diese Möglichkeiten können an den spezifischen politischen Hintergrund der restriktiven Maßnahmen angepasst werden. Nach Artikel 20 der Verordnung (EG) Nr. 45/2001 (15) können außerdem Einschränkungen und Ausnahmen insoweit angewendet werden, als sie unter bestimmten Umständen erforderlich sind; es ist jedoch nicht möglich, die Informationspflicht pauschal und unbegrenzt auszuschließen.

33.

In Anbetracht dessen empfiehlt der EDSB, in allen vorliegenden und künftigen Vorschlägen in diesem Bereich das Recht der gelisteten Personen auf Information sowie die Bedingungen und Modalitäten für eventuell erforderliche Einschränkungen dieses Rechts eindeutiger zu regeln.

34.

In Artikel 8 Absatz 2 der EU-Charta der Grundrechte heißt es wie folgt: „Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken“; somit ist das Recht auf Auskunft ein wesentlicher Bestandteil der Grundrechte im Bereich des Schutzes der personenbezogenen Daten. Entsprechend hat nach Artikel 13 der Verordnung (EG) Nr. 45/2001 die betroffene Person das Recht, jederzeit frei und ungehindert innerhalb von drei Monaten nach Eingang eines entsprechenden Antrags unentgeltlich von dem für die Verarbeitung Verantwortlichen unter anderem eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, zu erhalten (siehe Buchstabe c).

35.

Im Bereich der restriktiven Maßnahmen sind personenbezogene Daten zu gelisteten Personen, insbesondere die Daten, die mit den Gründen zusammenhängen, aus denen die Personen in die Listen aufgenommen wurden, oftmals in Verschlusssachen enthalten. In Bezug auf Verschlusssachen enthalten alle Kommissionsvorschläge identische Bestimmungen: Zunächst heißt es darin, dass die Kommission Verschlusssachen, die von den Vereinten Nationen oder einem Staat übermittelt werden, gemäß ihren eigenen Sicherheitsvorschriften (Beschluss 2001/844/EG, EGKS, Euratom (16) und gegebenenfalls gemäß dem zwischen der Europäischen Union und dem betreffenden Staat geschlossenen Abkommen über die Sicherheitsverfahren für den Austausch von Verschlusssachen behandelt; weiter wird festgelegt, dass Dokumente, deren Einstufung den Geheimhaltungsgraden „EU — Streng geheim“, „EU — Geheim“ oder „EU — Vertraulich“ entspricht, nur mit Zustimmung des Urhebers freigegeben werden (17).

36.

Der EDSB hat diese Bestimmungen bereits ausführlich in seiner Stellungnahme vom 28. Juli 2009 (18) analysiert und dabei festgestellt, dass weder in den internen Sicherheitsvorschriften der Kommission, noch in den Abkommen mit einzelnen Mitgliedstaaten oder den Vereinten Nationen das Recht auf Auskunft der betroffenen Person über sie betreffende personenbezogene Daten geregelt ist. Außerdem ist festzuhalten, dass im Bereich der restriktiven Maßnahmen zwar durchaus Einschränkungen des Rechts auf Auskunft möglich sind, durch die geltenden Bestimmungen aber in keiner Weise sichergestellt ist, dass Einschränkungen nur dann vorgenommen werden, wenn sie notwendig sind; ferner enthalten die geltenden Bestimmungen keine inhaltlichen Kriterien, die eine Beurteilung der entsprechenden Notwendigkeit erlauben würden. Gemäß den Vorschlägen wäre das Auskunftsrecht an die unbedingte Verpflichtung gekoppelt, die Zustimmung des Urhebers einzuholen, was dem Urheber der Information, bei dem es sich auch um Personen, Organisationen oder Einrichtungen handeln kann, die nicht dem EU-Recht und den EU-Standards für den Schutz der Grundrechte unterliegen, allein die Entscheidung überlassen würde.

37.

Im Zuge der Verhandlungen im Rat ist diese Bestimmung aus dem Al-Qaida-Vorschlag gestrichen worden.

38.

Vor diesem Hintergrund empfiehlt der EDSB dem Gesetzgeber dringend, in den vorliegenden und in künftigen Vorschlägen die grundlegende Frage des Rechts gelisteter Personen auf Auskunft — sei es direkt oder indirekt über andere Behörden (19) — über die sie betreffenden personenbezogenen Daten, die in Verschlusssachen enthalten sind, zu regeln, mit der Maßgabe, dass unter bestimmten Umständen verhältnismäßige Einschränkungen vorgenommen werden können.

39.

Der EDSB erinnert außerdem daran, dass in der Verordnung (EG) Nr. 45/2001 weitere Rechte der betroffenen Personen niedergelegt sind, deren Berücksichtigung der Gesetzgeber in den vorliegenden oder künftigen Vorschlägen ins Auge fassen sollte. So besteht insbesondere nach Artikel 14 der Verordnung (EG) Nr. 45/2001 für den für die Verarbeitung Verantwortlichen die Pflicht, unrichtige oder unvollständige personenbezogene Daten unverzüglich zu berichtigen; ferner besteht nach Artikel 17 die Pflicht, Dritte, denen die Daten übermittelt wurden, jede Berichtigung oder Löschung von Daten (wie sei beispielsweise bei der Streichung von einer Liste erfolgen würde) mitzuteilen, es sei denn, dass sich dies als unmöglich erweist oder einen unverhältnismäßigen Aufwand bedeutet.

40.

Der EDSB begrüßt zudem, dass in allen Vorschlägen ausdrücklich die Benennung einer Dienststelle der Europäischen Kommission als für die Verarbeitung verantwortliche Stelle vorgesehen ist, wodurch der für die Verarbeitung Verantwortliche besser nach außen wahrnehmbar wird, für die betroffenen Personen die Wahrnehmung ihrer Rechte vereinfacht wird und die Aufteilung der Zuständigkeiten gemäß der Verordnung (EG) Nr. 45/2001 verbessert wird.

41.

Eine wichtige Frage, die sich implizit im Zusammenhang mit dem Verfahren für die Aufnahme in die Liste stellt, ist gegenwärtig in den Vorschlägen nicht ausdrücklich geregelt, die Frage nämlich, wie sichergestellt werden kann, dass personenbezogene Daten, die von der Europäischen Union an Drittländer und internationale Organisationen wie die Vereinten Nationen weitergegeben werden, angemessen geschützt werden.

42.

Diesbezüglich möchte der EDSB auf Artikel 9 der Verordnung (EG) Nr. 45/2001 hinweisen, in dem festgelegt ist, unter welchen Bedingungen personenbezogene Daten an Empfänger, die nicht Organe oder Einrichtungen der Gemeinschaft sind und die nicht der Richtlinie 95/46/EG unterworfen sind, übermittelt werden dürfen. Genannt wird eine ganze Palette von Möglichkeiten, angefangen von der Einwilligung der betroffenen Person (Absatz 6 Buchstabe a) und der Ausübung von Rechtsansprüchen vor Gericht (Absatz 6 Buchstabe d) — was nützlich sein könnte, wenn die Daten von der in der Liste aufgeführten Person in der Absicht übermittelt wurden, eine Überprüfung der Liste herbeizuführen — bis hin zu bei den VN oder dem betreffenden Drittstaat bestehenden Mechanismen, die einen angemessenen Schutz der von der EU übermittelten personenbezogenen Daten gewährleisten.

43.

Der EDSB erinnert daran, dass die verschiedenen vorgesehenen Verarbeitungen im Einklang mit diesem System stehen sollten, und empfiehlt dem Gesetzgeber, dafür zu sorgen, dass geeignete Mechanismen und Garantien — wie zum Beispiel Festlegungen in den Vorschlägen oder Vereinbarungen mit den VN oder anderen betroffenen Drittstaaten — vorhanden sind, um einen angemessenen Schutz der mit Drittstaaten und internationalen Organisationen ausgetauschten personenbezogenen Daten sicherzustellen.

44.

Nach Auffassung des EDSB kommt der Frage der Einschränkung und Begrenzung bestimmter Grundrechte, wie beispielsweise des Rechts auf Schutz der personenbezogenen Daten, im Bereich der restriktiven Maßnahmen eine entscheidende Rolle zu, da Einschränkungen und Begrenzungen notwendig sein können, um die wirksame und ordnungsgemäße Durchsetzung von restriktiven Maßnahmen zu gewährleisten.

45.

Nach der Europäischen Menschenrechtskonvention, der EU-Charta der Grundrechte und den speziellen Rechtsakten zum Datenschutz, einschließlich des Artikels 20 der Verordnung (EG) Nr. 45/2001, sind Einschränkungen und Begrenzungen zulässig, sofern bestimmte Voraussetzungen, die sowohl vom Europäischen Gerichtshof für Menschenrechte als auch vom Europäischen Gerichtshof bestätigt und eindeutig festgelegt wurden (20), erfüllt sind. Kurz gesagt: diese Einschränkungen des Grundrechts auf Datenschutz sollten auf legislativen Maßnahmen beruhen und einer strengen Verhältnismäßigkeitsprüfung standhalten, d.h. sie sollten nach ständiger Rechtsprechung des Gerichtshofs in Bezug auf ihren Inhalt sowie die Dauer ihrer Anwendung nicht über das hinausgehen, was notwendig ist, um das jeweilige öffentliche Interesse zu verfolgen; dies gilt auch für restriktive Maßnahmen. Allgemeine, unverhältnismäßige und unvorhersehbare Einschränkungen würden der Prüfung nicht standhalten.

46.

Beispielsweise kann es erforderlich sein, die Unterrichtung der betroffenen Personen aufzuschieben, damit der Beschluss, eine Person in die Liste aufzunehmen und ihre Vermögenswerte einzufrieren, einen „Überraschungseffekt“ hat. Die Rechtsprechung des Gerichts erster Instanz (21) macht jedoch deutlich, dass es unnötig und somit unverhältnismäßig wäre, die Unterrichtung noch nach dem Einfrieren der Vermögenswerte zu verweigern oder weiter hinauszuschieben. Gelisteten Personen gegenüber können auch verhältnismäßige und zeitlich begrenzte Einschränkungen des Rechts auf Auskunft über sie betreffende personenbezogene Daten — einschließlich der Angaben zu dem Beschluss, auf dem die Aufnahme in eine Liste basiert — ins Auge gefasst werden, eine pauschale und dauerhafte Aufhebung des Auskunftsrechts würde jedoch dem Grundrecht auf den Schutz personenbezogener Daten zuwiderlaufen.

47.

Die Verordnung (EG) Nr. 45/2001 bietet bereits einen rechtlichen Rahmen, in dem sowohl Einschränkungen als auch Garantien vorgesehen sind. In den Absätzen 3 und 4 des Artikels 20 ist geregelt, wie eine Einschränkung anzuwenden ist. Nach Absatz 3 hat das jeweilige Organ die betroffene Person über die wesentlichen Gründe für die Einschränkung und darüber zu unterrichten, dass sie das Recht hat, sich an den Europäischen Datenschutzbeauftragten zu wenden. Absatz 4 enthält eine weitere Bestimmung für den besonderen Fall, dass das Auskunftsrecht eingeschränkt wird. Darin heißt es, dass der EDSB bei Prüfung einer Beschwerde auf Grundlage von Absatz 3 die betroffene Person nur darüber unterrichtet, ob die Daten richtig verarbeitet wurden und, falls dies nicht der Fall ist, ob alle erforderlichen Berichtigungen vorgenommen wurden. (22)

48.

In allen vorliegenden Vorschlägen wird die Frage der Einschränkung der Datenschutzrechte nur teilweise oder implizit geregelt, wodurch es zu Normenkollision und Auslegungskonflikten kommen kann, die aller Wahrscheinlichkeit nach vor Gericht enden dürften. Die Verhandlungen über den Al-Qaida-Vorschlag scheinen darauf hinauszulaufen, dass die Bezugnahmen auf Datenschutzrechte und notwendige Einschränkungen verringert werden.

49.

Vor diesen Hintergrund empfiehlt der EDSB dem Gesetzgeber, diese heikle Problematik zu regeln, indem die Einschränkungen der Datenschutzgrundsätze und die Garantien, die auf dem Gebiet der restriktiven Maßnahmen notwendig sein können, in den vorliegenden Vorschlägen und in anderen Rechtsakten eindeutiger festgelegt werden. Hierdurch würde dafür gesorgt, dass Einschränkungen vorhersehbar und verhältnismäßig wären, was gleichzeitig die Wirksamkeit der restriktiven Maßnahmen und die Achtung der Grundrechte sicherstellen und die Zahl der vor Gericht anhängigen Rechtssachen verringern würde. Darüber hinaus würde dies dem Stockholmer Programm entsprechen, in dem es unmissverständlich heißt, dass die EU vorsehen und regeln muss, unter welchen Umständen ein Eingriff öffentlicher Stellen in die Ausübung der Datenschutzrechte gerechtfertigt ist (23).

50.

Nach Artikel 32 Absatz 4 der Verordnung (EG) Nr. 45/2001 sowie nach Artikel 23 der Richtlinie 95/46/EG hat jede Person, der wegen einer rechtswidrigen Verarbeitung von Daten ein Schaden entsteht, Anspruch auf Schadenersatz von dem für die Verarbeitung Verantwortlichen, es sei denn, der für die Verarbeitung Verantwortliche weist nach, dass der Umstand, durch den der Schaden eingetreten ist, ihm nicht zur Last gelegt werden kann. Hierbei handelt es sich um eine Spezifizierung des allgemeinen Rechtsbegriffs der Haftung durch eine Umkehr der Beweislast.

51.

Restriktive Maßnahmen basieren auf der Verarbeitung und Veröffentlichung personenbezogener Daten, die, falls sie rechtwidrig erfolgen, für sich allein genommen — unabhängig von den jeweiligen restriktiven Maßnahmen — einen immateriellen Schaden verursachen können, wie schon das Gericht erster Instanz (24) festgestellt hat.

52.

Der EDSB weist darauf hin, dass die nicht-vertragliche Haftung für die Verarbeitung personenbezogener Daten unter Nichtachtung der geltenden Rechtsvorschriften zum Datenschutz bestehen bleibt und nicht ihres wesentlichen Inhalts beraubt werden kann, auch wenn in einigen der vorliegenden Vorschläge (25) die Haftung der natürlichen und juristischen Personen, die mit der Durchführung restriktiver Maßnahmen befasst sind, außer im Falle fahrlässigen Verhaltens ausgeschlossen ist.

53.

Gelistete Personen sind berechtigt, Rechtsbehelf bei Gericht und verwaltungsrechtlichen Rechtsbehelf vor der zuständigen Datenschutz-Aufsichtsbehörde einzulegen. Letzterer Rechtsbehelf umfasst nach Artikel 32 der Verordnung (EG) Nr. 45/2001 die Anhörung von Beschwerden, die von betroffenen Personen eingelegt wurden, und beruht auf der Befugnis des EDSB, von einem für die Verarbeitung Verantwortlichen oder von einem Organ oder einer Einrichtung der Gemeinschaft Zugang zu allen personenbezogenen Daten und allen für seine Untersuchungen erforderlichen Informationen zu erhalten (vgl. Artikel 47 Absatz 2 Buchstabe a der Verordnung (EG) Nr. 45/2001).

54.

Die unabhängige Beaufsichtigung der Einhaltung der Datenschutzvorschriften ist einer der Grundpfeiler des Datenschutzes, der jetzt in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen sämtlicher Tätigkeiten der Europäischen Union zum einen in Artikel 8 der EU-Charta der Grundrechte und zum anderen in Artikel 16 AEUV und in Artikel 39 EUV ausdrücklich bestätigt wurde.

55.

Wie bereits in seiner Stellungnahme vom 28. Juli 2009 (26) erwähnt, ist der EDSB besorgt darüber, dass die in den vorliegenden Vorschlägen vorgesehene Bedingung, Verschlusssachen nur mit der Zustimmung des Urhebers freizugeben, nicht nur die Aufsichtsbefugnisse des EDSB in diesem Bereich verletzen, sondern auch die Wirksamkeit einer gerichtlichen Überprüfung beeinträchtigen könnte, weil der Europäische Gerichtshof nicht mehr in der Lage wäre, zu prüfen, ob eine ausgewogene Abwägung zwischen dem Erfordernis, den internationalen Terrorismus zu bekämpfen, und dem Schutz der Grundrechte vorgenommen wurde. Wie das Gericht erster Instanz in seinem Urteil vom 4. Dezember 2008 festgestellt hat, kann es hierfür erforderlich sein, dass das Gericht Zugang zu Verschlusssachen erhält. (27)

56.

Angesichts dessen empfiehlt der EDSB, in den vorliegenden Vorschlägen sicherzustellen, dass die bestehenden Rechtsbehelfe vor Gericht und die unabhängige Aufsicht durch Datenschutz-Aufsichtsbehörden uneingeschränkt anwendbar sind und ihre Wirksamkeit nicht durch Bedingungen, die für den Zugang zu Verschlusssachen gelten, beeinträchtigt wird. In diesem Zusammenhang könnte ein erster Schritt darin bestehen, in den einschlägigen Artikeln der vorliegenden Vorschläge (28) das Wort „freigegeben“ durch „veröffentlicht“ zu ersetzen.

57.

Der EDSB ist der festen Überzeugung, dass bei dem Vorgehen gegen diejenigen, die die Achtung der Grundrechte untergraben, die Grundrechte geachtet werden müssen.

58.

Angesichts dessen begrüßt der EDSB, wie schon in seiner Stellungnahme vom 28. Juli 2009 zu den restriktiven Maßnahmen gegenüber Al–Qaida, dass die Kommission beabsichtigt, den geltenden rechtlichen Rahmen durch ein strengeres Verfahren für die Aufnahme in die Liste und durch die ausdrückliche Berücksichtigung des Rechts auf Schutz der personenbezogenen Daten zu verbessern.

59.

In Anbetracht der Instrumente, die der Vertrag von Lissabon bietet, sowie in Anbetracht der im Stockholmer Programm entwickelten langfristigen Zukunftsperspektive empfiehlt der EDSB der Kommission nachdrücklich, ihr bisheriges unsystematisches Vorgehen, das dazu geführt hat, dass je nach Land und nach Organisation spezifische und manchmal unterschiedliche Vorschriften für die Verarbeitung personenbezogener Daten verabschiedet wurden, einzustellen und einen allgemeinen, in sich schlüssigen Rahmen für alle von der EU gegen natürliche oder juristische Personen, Organisationen oder Einrichtungen verhängten gezielten Sanktionen vorzuschlagen, durch den die Achtung der Grundrechte der betroffenen Personen und insbesondere des grundlegenden Rechts auf Schutz der personenbezogenen Daten sichergestellt wird. Notwendige Einschränkungen dieser Rechte sollten eindeutig gesetzlich geregelt werden, verhältnismäßig sein und in jedem Fall diese Rechte in ihren Wesensbestandteilen achten.

60.

Der EDSB begrüßt, dass in den aktuellen Vorschlägen Bezugnahmen auf die Anwendbarkeit der Verordnung (EG) Nr. 45/2001 ebenso enthalten sind wie Bezugnahmen auf die sich daraus ergebenden Rechte der betroffenen Personen.

61.

Im Hinblick auf die Qualität der Daten und die Zweckbindung empfiehlt der EDSB einige Änderungen, damit sichergestellt werden kann, dass nur notwendige Daten verarbeitet werden, dass diese Daten auf dem neuesten Stand gehalten werden und dass sie nicht länger als notwendig gespeichert werden. Insbesondere empfiehlt der EDSB, bei allen vorliegenden und künftigen Vorschlägen in diesem Bereich wirksame Regelungen zur Streichung natürlicher Personen von den Listen und zur regelmäßigen Überprüfung der EU–Listen anzuwenden.

62.

Der EDSB empfiehlt, in allen vorliegenden und künftigen Vorschlägen in diesem Bereich das Auskunftsrecht der gelisteten Personen sowie die Bedingungen und Modalitäten für eventuell erforderliche Einschränkungen dieses Rechts eindeutiger zu regeln.

63.

Der EDSB empfiehlt dem Gesetzgeber dringend, in den vorliegenden und in künftigen Vorschlägen die grundlegende Frage des Rechts gelisteter Personen auf Auskunft über die sie betreffenden personenbezogenen Daten, die in als Verschlusssachen eingestuften Dokumenten enthalten sind, zu regeln, mit der Maßgabe, dass unter bestimmten Umständen angemessene Einschränkungen vorgenommen werden können.

64.

Der EDSB empfiehlt dem Gesetzgeber, dafür zu sorgen, dass geeignete Mechanismen und Garantien — wie zum Beispiel Bestimmungen in den Vorschlägen oder Vereinbarungen mit den VN oder betroffenen Drittstaaten — vorhanden sind, um einen angemessenen Schutz der mit Drittstaaten und internationalen Organisationen ausgetauschten personenbezogenen Daten sicherzustellen.

65.

Der EDSB empfiehlt dem Gesetzgeber, in den vorliegenden Vorschlägen oder in einem anderen Rechtsinstrument die Einschränkungen der Datenschutzgrundsätze ebenso wie die Garantien, die im Bereich der restriktiven Maßnahmen eventuell notwendig sein können, eindeutiger zu regeln, damit die Vorhersehbarkeit und die Verhältnismäßigkeit der Einschränkungen gegeben ist.

66.

Der EDSB stellt fest, dass der Grundsatz der Haftung für die rechtswidrige Verarbeitung personenbezogener Daten seine Gültigkeit behält und seines wesentlichen Inhalts nicht beraubt werden kann.

67.

Der EDSB empfiehlt, dafür zu sorgen, dass die bestehenden Rechtsbehelfe vor Gericht und die unabhängige Aufsicht durch Datenschutz-Aufsichtsbehörden uneingeschränkt anwendbar sind und ihre Wirksamkeit nicht durch Bedingungen, die für den Zugang zu Verschlusssachen gelten, beeinträchtigt wird.