BERICHT DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT, DEN RAT, DEN EUROPÄISCHEN WIRTSCHAFTS- UND SOZIALAUSSCHUSS UND DEN AUSSCHUSS DER REGIONEN

auf der Grundlage von Artikel 29 Absatz 2 des Rahmenbeschlusses des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden

1. Einleitung 1.1. Hintergrund

Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008[1] (nachstehend „Rahmenbeschluss“) über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, legt einen allgemeinen Rechtsrahmen für den Schutz von Daten im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen fest. Er trat am 19. Januar 2009 in Kraft.[2]

Der Rahmenbeschluss war notwendig geworden, da es zum Zeitpunkt seiner Annahme auf europäischer Ebene kein allgemeines Instrument gab, das die Datenverarbeitung im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen abdeckte.[3] In Artikel 3 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr heißt es, dass diese keine Anwendung findet „auf die Verarbeitung personenbezogener Daten, die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß Titel VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates und die Tätigkeiten des Staates im strafrechtlichen Bereich“.

Zweck dieses Rahmenbeschlusses ist es, auf EU-Ebene einen hohen Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen zu gewährleisten. Gleichzeitig soll ein hohes Maß an öffentlicher Sicherheit garantiert werden.[4] Dies hindert die Mitgliedstaaten nicht daran, zum Schutz personenbezogener Daten, die auf nationaler Ebene erhoben oder verarbeitet werden, strengere Bestimmungen zu erlassen.[5]

Der Anwendungsbereich[6] des Rahmenbeschlusses ist beschränkt auf die Verarbeitung personenbezogener Daten, die zum Zweck der Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder der Vollstreckung strafrechtlicher Sanktionen zwischen folgenden Instanzen übermittelt oder ihnen bereitgestellt werden:

- zwischen Mitgliedstaaten;

- von Mitgliedstaaten an Behörden oder an Informationssysteme, die aufgrund von Titel VI des Vertrags über die Europäische Union („Bestimmungen über die polizeiliche und justizielle Zusammenarbeit in Strafsachen“) errichtet worden sind;

- von Behörden oder Informationssystemen, die aufgrund des Vertrags über die Europäische Union oder des Vertrags zur Gründung der Europäischen Gemeinschaft errichtet worden sind, an die zuständigen Behörden der Mitgliedstaaten.

Personenbezogene Daten, die von einem Mitgliedstaat an einen anderen übermittelt wurden, dürfen auch an Drittstaaten oder internationale Einrichtungen weitergeleitet werden, sofern bestimmte Voraussetzungen erfüllt sind.[7]

Der Rahmenbeschluss ist in vollem Umfang anwendbar auf das Vereinigte Königreich und auf Irland, da er eine Entwicklung des Schengen-Besitzstands darstellt. Gemäß Artikel 5 des Protokolls über die Einbeziehung des Schengen-Besitzstands in den Rahmen der Europäischen Union, das dem Vertrag über die Europäische Union und dem Vertrag zur Gründung der Europäischen Gemeinschaft beigefügt ist, sowie gemäß den Beschlüssen des Rates 2000/365/EG und 2002/192/EG sind das Vereinigte Königreich und Irland Parteien des Rahmenbeschlusses.

Für Island, Norwegen, die Schweiz und Liechtenstein stellt der Rahmenbeschluss eine Weiterentwicklung von Bestimmungen des Schengen-Besitzstands im Sinne des Übereinkommens und der Protokolle, die zwischen dem Rat der Europäischen Union bzw. der Europäischen Union und Island und Norwegen, der Schweizerischen Eidgenossenschaft und Liechtenstein geschlossen wurden, und im Sinne der Beschlüsse des Rates 1999/437/EG, 2008/149/JI und 2008/262/JI dar.

1.2. Inhalt des Rahmenbeschlusses 2008/977/JI

Der Anwendungsbereich des Rahmenbeschlusses deckt nicht die innerstaatliche Verarbeitung personenbezogener Daten durch die zuständigen justiziellen oder polizeilichen Behörden der Mitgliedstaaten ab (Artikel 1 Absatz 2).

Im Allgemeinen haben sektorspezifische Rechtsakte für die polizeiliche und justizielle Zusammenarbeit in Strafsachen, die Bestimmungen zum Schutz personenbezogener Daten enthalten und die vor dem Inkrafttreten des Rahmenbeschlusses erlassen wurden, Vorrang vor dem Rahmenbeschluss (Artikel 28): Rechtsakte, die in Bezug auf den Datenschutz als „vollständiges, in sich geschlossenes Regelwerk“ gelten, sind von dem Rahmenbeschluss unberührt (Erwägungsgrund 39). Andere sektorspezifische Maßnahmen, deren Anwendungsbereich begrenzter ist, haben nur dann Vorrang vor dem Rahmenbeschluss, wenn sie strenger sind als dieser. Andernfalls gilt der Rahmenbeschluss (Erwägungsgrund 40).

Der Rahmenbeschluss legt die Ziele des Datenschutzes im Rahmen der polizeilichen und justiziellen Tätigkeiten fest. Er enthält Bestimmungen über die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, um sicherzustellen, dass alle ausgetauschten Informationen rechtmäßig und nach den für die Datenqualität geltenden Grundsätzen verarbeitet wurden.

Er legt auch die Rechte der betroffenen Personen fest, um den Schutz personenbezogener Daten ohne Beeinträchtigung der Interessen strafrechtlicher Untersuchungen zu gewährleisten. Dazu muss die betroffene Person informiert werden und Zugang zu ihren personenbezogenen Daten erhalten.

Die nationalen Kontrollstellen, die bei der Ausübung der ihnen übertragenen Aufgaben völlig unabhängig sind, haben bei der Anwendung der Maßnahmen, die die Mitgliedstaaten zur Umsetzung des Rahmenbeschlusses angenommen haben, eine beratende und überwachende Funktion.

1.3. Verpflichtung der Kommission zur Berichterstattung über die Umsetzung

Gemäß Artikel 29 Absatz 1 des Rahmenbeschlusses treffen die Mitgliedstaaten die erforderlichen Maßnahmen, um den Vorschriften dieses Rahmenbeschlusses vor dem 27. November 2010 nachzukommen.

Gemäß Artikel 29 Absatz 2 müssen sie dem Generalsekretariat des Rates und der Kommission den Wortlaut der Bestimmungen übermitteln, mit denen sie die Verpflichtungen in ihr innerstaatliches Recht umgesetzt haben, sowie Angaben zu den in Artikel 25 des Rahmenbeschlusses genannten Kontrollstellen machen.

Die Kommission erstellt auf der Grundlage der Informationen der Mitgliedstaaten einen Bericht. Der Rat muss vor dem 27. November 2011 prüfen, inwieweit die Mitgliedstaaten dem Rahmenbeschluss nachgekommen sind.

1.4. Informationsquellen für den Bericht

Bis zum 9. November 2011 hatten 26 von 27 Mitgliedstaaten sowie Liechtenstein, Norwegen, Island und die Schweiz der Kommission Informationen bezüglich der Umsetzung des Rahmenbeschlusses übermittelt.

Von den 26 Mitgliedstaaten gaben 14 an, dass der Rahmenbeschluss in innerstaatliche Rechtsvorschriften umgesetzt wurde (Belgien, die Tschechische Republik, Dänemark, Deutschland, Estland, Irland, Ungarn, Lettland, Litauen, Luxemburg, Österreich, die Slowakei, Schweden und das Vereinigte Königreich). Deutschland, Irland, Estland und Schweden gaben an, dass sie noch prüfen, ob weitere Umsetzungsmaßnahmen erforderlich sind.

Bei 9 Mitgliedstaaten kann von einer teilweisen Umsetzung des Rahmenbeschlusses ausgegangen werden, da sie angeben, dass sie noch Umsetzungsvorschriften verabschieden müssen.

4 Mitgliedstaaten haben entweder nicht auf die Anfrage der Kommission nach Informationen reagiert (Rumänien) oder sie haben angegeben, dass sie den Rahmenbeschluss nicht umgesetzt haben (Griechenland, Italien[8], Zypern).

Die Informationen, die die Mitgliedstaaten im Fragebogen der Kommission mitgeteilt haben, insbesondere der Detaillierungsgrad der Informationen variieren. Tabelle 1 gibt einen Überblick über die Antworten: Sie enthält die Bewertung der Mitgliedstaaten in Bezug auf den Stand der Umsetzung des Rahmenbeschlusses.

2. UMSETZUNG DES RAHMENBESCHLUSSES 2.1. Rahmenbeschluss auf der Grundlage von ex-Artikel 34 Absatz 2 Buchstabe b des Vertrags über die Europäische Union

Rechtsgrundlage für den Rahmenbeschluss war der Vertrag über die Europäische Union (EUV), insbesondere Artikel 30, 31 Buchstabe e und Artikel 34 Absatz 2 Buchstabe b.

Rahmenbeschlüsse als Rechtsinstrumente lassen sich am ehesten mit einer Richtlinie vergleichen, da sie hinsichtlich des zu erreichenden Ziels für die Mitgliedstaaten verbindlich sind, den innerstaatlichen Stellen jedoch die Wahl der Form und der Mittel überlassen. Rahmenbeschlüsse haben jedoch keine unmittelbare Wirkung.[9]

Basierend auf Artikel 10 des Protokolls über die Übergangsbestimmungen über die vor dem Inkrafttreten des Vertrags von Lissabon auf der Grundlage der Titel V und VI des Vertrags über die Europäische Union angenommenen Rechtsakte (Nr. 36), die den Verträgen beigefügt sind, gilt Folgendes: Die Befugnisse der Kommission nach Artikel 258 AEUV gelten nicht in Bezug auf Rechtsakte der „ehemaligen dritten Säule“ für die Übergangszeit von fünf Jahren nach dem Inkrafttreten des Vertrags von Lissabon (d.h. bis zum 1. Dezember 2014) (und die des EuGH bleiben eingeschränkt).

Nachstehend werden einige Angaben zur Umsetzung der vier wichtigsten Bestimmungen des Rahmenbeschlusses aufgeführt, wie sie von den Mitgliedstaaten als Antwort auf die Anfrage der Kommission vom 9. Dezember 2010 gemacht wurden.

2.1.1. Anwendungsbereich nationaler Umsetzungsmaßnahmen

Der Rahmenbeschluss findet nur auf die Verarbeitung personenbezogener Daten Anwendung, die zwischen Mitgliedstaaten übermittelt oder bereitgestellt werden (Artikel 1 Absatz 2). Die Verarbeitung personenbezogener Daten durch die Polizei und Justiz in Strafsachen auf nationaler Ebene fällt nicht in den Anwendungsbereich des Rahmenbeschlusses.

Tabelle 2 des Anhangs gibt einen Überblick über die Umsetzungsmaßnahmen in den Mitgliedstaaten. Die meisten Mitgliedstaaten haben auf die allgemeinen Datenschutzvorschriften als eine der Umsetzungsmaßnahmen des Rahmenbeschlusses verwiesen und auf geltende sektorspezifische Rechtsvorschriften für Polizei, Justiz, Zoll- und Steuerbehörden hingewiesen. Einige Mitgliedstaaten haben entschieden, keine Rechtsakte zu verabschieden, sondern den Beschluss mittels administrativer Rundschreiben umzusetzen (beispielsweise Deutschland, das Vereinigte Königreich).

Die meisten Mitgliedstaaten haben angegeben, dass die allgemeinen Datenschutzvorschriften bei der Verarbeitung personenbezogener Daten durch die Polizei und Justiz sowohl auf nationaler Ebene als auch im grenzübergreifenden Kontext Anwendung finden,[10] wobei sie jedoch parallel zu Strafverfahrensgesetzen und Polizeigesetzen (über die Datenverarbeitung) gelten.[11] 13 Mitgliedstaaten (Belgien, die Tschechische Republik, Deutschland, Estland, Italien, Luxemburg, Ungarn, Malta, die Niederlande, Slowenien, die Slowakei, Finnland und Schweden) führten Strafprozessgesetze oder entsprechende Vorschriften an. Sieben Mitgliedstaaten (die Tschechische Republik, Deutschland, Ungarn, die Niederlande, Slowenien, Finnland und Schweden) wiesen auf spezifische Polizeigesetze (für die Datenverarbeitung) hin.[12] Drei Mitgliedstaaten (Bulgarien, Portugal, Litauen) haben hinzugefügt, dass sie spezifische Rechtsvorschriften erlassen haben, um bestimmte Bestimmungen des Rahmenbeschlusses umzusetzen, die von den allgemeinen Rechtsvorschriften nicht abgedeckt sind und die nur bei der grenzübergreifenden Verarbeitung von personenbezogenen Daten Anwendung finden.[13]

Drei Mitgliedstaaten betrachteten den begrenzten Anwendungsbereich des Rahmen­beschlusses als problematisch. Italien und die Niederlande haben von Problemen berichtet, die in der Praxis bei der Unterscheidung zwischen der grenzübergreifenden Verarbeitung von Daten im Sinne des Rahmenbeschlusses 2008/977 und der Verarbeitung auf nationaler Ebene entstehen. Sie haben auch von der damit verbundenen Komplexität für Strafverfolgungsbehörden berichtet, die für dieselben personenbezogenen Daten verschiedene Verarbeitungsregelungen beachten müssen. Polen verwies auf die Unzulänglichkeiten des Rahmenbeschlusses insgesamt und unterstützte nachdrücklich die Absicht der Kommission, einen umfassenden Rechtsrahmen zu schaffen und die allgemeinen Datenschutzvorschriften auf den Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen auszudehnen.[14]

2.1.2. Information der betroffenen Personen (Artikel 16, Erwägungsgründe 26-27)

Gemäß dem Rahmenbeschluss müssen die Mitgliedstaaten dafür sorgen, dass die zuständigen Behörden die betroffenen Personen darüber informieren, dass ihre personenbezogenen Daten zum Zwecke der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder der Vollstreckung strafrechtlicher Sanktionen verarbeitet oder an einen anderen Mitgliedstaat übermittelt werden. Form, Inhalt, Modalitäten und die Ausnahmen (d.h. keine oder eingeschränkte Information) hierzu sollten nach einzelstaatlichem Recht festgelegt werden. Dies kann in allgemeiner Form, z. B. durch Rechtsvorschriften oder durch Veröffentlichung einer Liste der Verarbeitungen, erfolgen. Bei einer Übermittlung an einen anderen Mitgliedstaat kann jeder Mitgliedstaat verlangen, dass jener Mitgliedstaat von der Information der betroffenen Person absieht.

Tabelle 3 zeigt, dass fast alle Mitgliedstaaten nach eigenen Angaben den betroffenen Personen einige Informationen über die Verarbeitung ihrer personenbezogenen Daten zur Verfügung stellen. In Frankreich ist dies nicht der Fall. In Dänemark wird ein solches Recht ebenfalls nicht gewährt, doch sind die für die Datenverarbeitung Verantwortlichen verpflichtet, ein Register zu führen und die Öffentlichkeit zu informieren.

In den allermeisten Mitgliedstaaten unterliegt das Recht auf Information Beschränkungen. Nationale Rechtsvorschriften schränken dieses Recht entweder für Zwecke der Verhütung, Feststellung, Ermittlung oder Verfolgung von Straftaten ein oder nehmen die Datenverarbeitung durch bestimmte für die Verarbeitung Verantwortliche (Polizei und/oder Justiz) von der Anwendung dieses Rechts aus. In einigen Fällen sind Beschränkungen/Ausnahmen vorgesehen, ohne dass genau angegeben wird, für welche Tätigkeiten. Eine beträchtliche Anzahl an Mitgliedstaaten haben eigenen Angaben zufolge solche Beschränkungen für die Polizei, Militärpolizei, Gerichte, Zoll- und Steuerbehörden.

Insbesondere die Niederlande haben angegeben, dass eine allgemeine Pflicht zur Information der betroffenen Person mit der Art der Tätigkeiten der Polizei und der Justiz nicht ganz vereinbar war, aber bestimmte Vorkehrungen getroffen wurden, damit die betroffenen Personen ausreichend über die Datenverarbeitung durch die Polizei- oder Justizbehörden informiert werden (d.h. Gesetze regeln Fälle und Bedingungen der Datenverarbeitung; der Staatsanwalt informiert die betroffene Person über die Ausübung spezieller Ermittlungsbefugnisse, wenn dies im Interesse der Ermittlungen möglich ist). Die Niederlande haben auch angegeben, dass diese Bestimmung nicht umgesetzt werden muss, da sich Artikel 16 Absatz 1 lediglich auf das innerstaatliche Recht der Mitgliedstaaten bezieht.

Der Rahmenbeschluss legt zwar das Recht der betroffenen Person auf Information fest, enthält aber keine näheren Angaben zu den Modalitäten oder zu möglichen Ausnahmen hierzu. Auch wenn das Recht auf Information nach den Angaben der Mitgliedstaaten allgemein gewährt wird, gibt es große Unterschiede bei der Umsetzung.

2.1.3. Recht der betroffenen Person auf Auskunft (Artikel 17)

Der Rahmenbeschluss legt fest, dass eine betroffene Person das Recht hat, ohne unzumutbare Verzögerung oder übermäßig hohe Kosten folgende Auskunft zu erhalten:

a)         zumindest die Bestätigung von dem für die Verarbeitung Verantwortlichen oder von der nationalen Kontrollstelle, dass sie betreffende Daten übermittelt oder bereitgestellt wurden oder nicht, sowie Informationen über die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben wurden, und eine Mitteilung über die Daten, die Gegenstand der Verarbeitung sind;

oder b) zumindest die Bestätigung von der nationalen Kontrollstelle, dass alle erforderlichen Kontrollen durchgeführt wurden.

Die Mitgliedstaaten können Rechtsvorschriften zur Beschränkung des Rechts auf Auskunft erlassen, um die Behinderung behördlicher oder gerichtlicher Ermittlungen, Untersuchungen oder Verfahren zu verhindern; die Beeinträchtigung der Verhütung, Feststellung, Ermittlung oder Verfolgung von Straftaten oder der Vollstreckung strafrechtlicher Sanktionen zu verhindern; die öffentliche Sicherheit zu schützen; die Sicherheit des Staates zu schützen; die betroffene Person und die Rechte und Freiheiten anderer zu schützen (Artikel 17 Absatz 2). Verweigert der für die Verarbeitung Verantwortliche die Auskunft, muss er dies schriftlich mitteilen (Artikel 17 Absatz 3).

Die Informationen, die die Mitgliedstaaten zum Recht auf Auskunft erteilt haben und die in Tabelle 4 zusammengefasst sind, zeigen die Situation in Bezug auf die Information der betroffenen Person. Aus den Informationen kann geschlossen werden, dass alle Mitgliedstaaten[15] den betroffenen Personen das Recht auf Auskunft in irgendeiner Form gewähren. Dieses Recht ist meist in den allgemeinen Datenschutzvorschriften des Landes verankert. Viele Mitgliedstaaten regeln Einzelheiten des Rechts auf Auskunft in sektorspezifischen Rechtsvorschriften (wie den Polizeigesetzen).

Gleichermaßen sehen alle Mitgliedstaaten Ausnahmen von dem Recht auf Auskunft vor. Im Folgenden werden die am häufigsten genannten Gründe für die Verweigerung des Rechts auf Auskunft genannt:

– Verhütung, Feststellung, Ermittlung oder Verfolgung von Straftaten;

– Sicherheit des Staates, Landesverteidigung und öffentliche Sicherheit;

– wirtschaftliche oder finanzielle Interessen eines Mitgliedstaates oder der EU (einschließlich Währungs-, Haushalts- und Steuerangelegenheiten);[16]

– Schutz der Rechte und Freiheiten der betroffenen Person und anderer.

Manche Mitgliedstaaten haben explizit angegeben, wie das Auskunftsrecht gewährt wird, andere haben das nicht getan. Einige Mitgliedstaaten haben angegeben, dass sie den betroffenen Personen das Recht gewähren, den Antrag auf Auskunft über ihre Daten direkt an die zuständige Behörde zu schicken (d.h. Österreich, Deutschland, Bulgarien, Finnland, Irland, Lettland, Malta, die Niederlande, Polen, die Slowakei, Schweden, das Vereinigte Königreich), während andere nur eine „indirekte“ Auskunft zulassen (Belgien, Frankreich). Im letztgenannten Fall hat die nationale Kontrollstelle statt der betroffenen Person Zugang zu allen die betroffene Person betreffenden personenbezogenen Daten. In Finnland und Litauen haben die betroffenen Personen die Möglichkeit zu wählen. In Portugal ist die direkte Auskunft die Regel, doch ist in den Fällen die indirekte Auskunft vorgesehen, in denen sich die Verarbeitung der personenbezogenen Daten auf die Sicherheit des Staates auswirkt oder die Verhütung oder Ermittlung von Straftaten betroffen ist. In Luxemburg ist die Situation ähnlich. Auch dort wird normalerweise eine direkte Auskunft gewährt. Trifft jedoch eine der genannten Ausnahmen zu, muss der Antrag auf Auskunft an die nationale Kontrollstelle gerichtet werden.

Der Rahmenbeschluss enthält allgemeine Bestimmungen, die den betroffenen Personen das Recht auf Auskunft über ihre Daten gewähren. Er legt nicht genau fest, welche Art Informationen den betroffenen Personen gegeben werden müssen. Er überlässt es auch den Mitgliedsstaaten, ob die betroffenen Personen ihr Auskunftsrecht direkt ausüben können oder indirekt ausüben müssen.

2.1.4. Nationale Kontrollstellen (Artikel 25)

Rahmenbeschluss 2008/977 erkennt an, dass die Einrichtung völlig unabhängiger Kontrollstellen in den Mitgliedstaaten „ein wesentliches Element des Schutzes personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit zwischen den Mitgliedstaaten in Strafsachen verarbeitet werden“, ist (Erwägungsgrund 33). Der Rahmenbeschluss legt auch fest, dass die nach der Richtlinie bereits in den Mitgliedstaaten errichteten Kontrollstellen diese Verantwortung „auch sollten (…) übernehmen können“ (Erwägungsgrund 34). Artikel 25 des Rahmenbeschlusses 2008/977 spiegelt einen wichtigen Teil der Bestimmung zu den Kontrollstellen aus Artikel 28 (Absätze 1-4, 7) der Richtlinie 95/46/EG hinsichtlich der Befugnisse der Kontrollstelle, ihrer Pflicht zur Handlung in völliger Unabhängigkeit und der Wahrung des Berufsgeheimnisses wider. Jede Kontrollstelle verfügt über eine Reihe von Befugnissen, einschließlich Ermittlungsbefugnissen (dazu zählen der Zugang zu den Daten und die Einholung der erforderlichen Informationen), wirksame Einwirkungsbefugnisse (wie die Abgabe von Stellungnahmen und ihre Veröffentlichung vor der Durchführung der Verarbeitungen; Anordnung der Sperrung, Löschung oder Vernichtung von Daten; Anordnung eines vorläufigen oder endgültigen Verbots der Verarbeitung; Verwarnung oder Ermahnung des für die Verarbeitung Verantwortlichen; Befassung der nationalen Parlamente oder anderer politischer Einrichtungen mit der Sache) und das Klagerecht oder eine Anzeigebefugnis.

Tabelle 5 zeigt, dass in den meisten Fällen die für die Überwachung der Umsetzung und der Anwendung der allgemeinen Datenschutzbestimmungen zuständigen Kontrollstellen auch für die Überwachung der Umsetzung und Anwendung des Rahmenbeschlusses 2008/977 zuständig sind.

Schweden gibt an, dass die schwedische Datenschutzkommission noch als die im Sinne von Artikel 25 des Rahmenbeschlusses zuständige Kontrollbehörde bestimmt werden muss.

Einige Mitgliedstaaten haben ausdrücklich die Frage der Überwachung der Datenverarbeitung durch die Justiz angesprochen.[17] Dänemark hat angegeben, dass die Gerichtsverwaltung für die Überwachung der Verarbeitung von Daten durch die Justiz zuständig ist; Österreich wies darauf hin, dass die Datenschutzkontrollstelle nicht für die Entscheidung über Beschwerden wegen Verletzung der Datenschutzbestimmungen durch die Justiz zuständig ist. In Luxemburg obliegt die Überwachung der Datenverarbeitung generell der Datenschutzkommission. Datenverarbeitungen, die im Rahmen einer einzelstaatlichen Vorschrift zur Umsetzung eines internationalen Abkommens ausgeführt werden, werden von einer Stelle überwacht, die sich aus dem Procureur Général d'Etat oder seinem Bevollmächtigten und zwei Mitgliedern der Datenschutzkommission zusammensetzt. Diese werden von der Datenschutzkommission vorgeschlagen und vom Minister ernannt.

2.1.5. Andere von den Mitgliedstaaten aufgeworfene Fragen

Von den 26 Mitgliedstaaten erklärten 20 – von denen 8 überhaupt nicht auf diese Frage antworteten (Belgien, Dänemark, Estland, Griechenland, Ungarn, Luxemburg, Zypern und Österreich) ‑ dass sie keine besonderen Probleme mit dem Rahmenbeschluss gehabt hätten. Wie Tabelle 6 zeigt, haben sechs Mitgliedstaaten Aspekte kommentiert, die sie wichtig fanden, darunter:

- nach Auffassung Polens wies der Rahmenbeschluss zahlreiche Mängel auf, die beseitigt werden sollten; Polen unterstützte eine Reform mit dem Ziel, ein umfassendes und kohärentes Datenschutzsystem auf EU-Ebene einzuführen;

- Italien und die Niederlande wiesen auf die Schwierigkeit hin, in der Praxis zwischen einer grenzübergreifenden Verarbeitung von Daten im Sinne des Rahmenbeschlusses 2008/977 und der Verarbeitung auf nationaler Ebene zu unterscheiden, und die damit verbundenen Schwierigkeiten für Strafverfolgungsbehörden in den Mitgliedstaaten, die für dieselben personenbezogenen Daten verschiedene Verarbeitungsregelungen beachten müssen;

- Italien, die Tschechische Republik und die Niederlande kritisierten die im Rahmenbeschluss enthaltenen Regeln für internationale Datenübermittlungen. Insbesondere muss Italien zufolge für einen angemessenen und einheitlicheren Datenschutz für den Datentransfer in Drittländer gesorgt werden. Für problematisch erachteten die Niederlande im Rahmenbeschluss das Fehlen von Kriterien zur Bestimmung eines angemessenen Schutzniveaus in einem Drittland, das zu einer unterschiedlichen Umsetzung in den Mitgliedstaaten führt. Die Tschechische Republik hielt die Regeln für internationale Übermittlungen im Rahmenbeschluss für „unrealistisch“;

- Frankreich berichtete über ein spezifisches Problem auf nationaler Ebene hinsichtlich der Speicherfristen für personenbezogene Daten, die aus und in ein Drittland übermittelt werden, das diesbezüglich andere Anforderungen hat;

- nach Ansicht der Slowakei war es notwendig, stärker zwischen der Datenverarbeitung durch die Polizei und die Justiz (Gerichtsverfahren) zu unterscheiden;

- sowohl die Tschechische Republik als auch die Niederlande erklärten, dass die Existenz unterschiedlicher Datenschutzregelungen auf internationaler Ebene (beispielsweise Regelungen des Europarats), auf EU und nationaler Ebene, die es einzuhalten gilt, für Strafverfolgungsbehörden problematisch ist.

3. AUFGABEN

Der vorliegende Bericht zieht Bilanz über den Stand der Umsetzung und das Funktionieren des Rahmenbeschlusses über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden.

Die praktischen Schwierigkeiten, auf die einige Mitgliedstaaten bezüglich der Unterscheidung zwischen den Regeln über die innerstaatliche und die grenzübergreifende Übermittlung gestoßen sind, könnten durch ein Regelwerk gelöst werden, das die Datenverarbeitung sowohl auf nationaler Ebene als auch im grenzübergreifenden Kontext abdeckt. Der Anwendungsbereich und mögliche Ausnahmen auf EU-Ebene bezüglich des Rechts der betroffenen Person auf Auskunft würden eine weitere Klärung verdienen. Ein Mindestmaß an harmonisierten Kriterien bezüglich des Rechts der betroffenen Personen auf Auskunft könnte die Rechte der betroffenen Personen stärken und gleichzeitig Ausnahmen zulassen, um der Polizei und der Justiz eine ordnungsgemäße Ausübung ihrer Aufgaben zu ermöglichen.

Gemäß Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union, in dem das Recht auf Schutz der personenbezogenen Daten verankert ist, ist nun die Möglichkeit gegeben, einen umfassenden Datenschutzrahmen einzuführen, der unter uneingeschränkter Einhaltung des Grundsatzes der Subsidiarität sowohl ein hohes Maß an Datenschutz im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen als auch einen reibungsloseren Austausch der personenbezogenen Daten zwischen den Polizei- und Justizbehörden der Mitgliedstaaten sicherstellt.

[1]               ABl. L 350 vom 30.12.2008, S. 60.

[2]               Artikel 30.

[3]               Erwägungsgrund 5 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281 vom 23.11.1995, S. 31.

[4]               Artikel 1.

[5]               Artikel 1 Absatz 5.

[6]               Artikel 1 Absatz 2.

[7]               Artikel 13.

[8]               Italien hat die Kommission darüber informiert, dass bislang noch keine spezifischen Umsetzungsakte formal angenommen wurden. Italien verweist auf das Datenschutzgesetz, die Strafprozessordnung und andere Gesetze, die Bestimmungen enthalten, die bei der Datenverarbeitung in diesen Gebieten anzuwenden sind. Andere Mitgliedstaaten wählen einen anderen Ansatz und weisen darauf hin, dass die geltenden Datenschutzbestimmungen auch bei der Verarbeitung personenbezogener Daten durch die Polizei und Justiz auf innerstaatlicher Ebene und bei der grenzübergreifenden Verarbeitung durch die Polizei und Justiz in Strafsachen anzuwenden sind. Darüber hinaus haben sie die Kommmission über zusätzliche Umsetzungsmaßnahmen informiert, die derzeit ausgearbeitet werden.

[9]               Siehe Rechtssache C-105/03, Pupino, Urteil vom 16.5.2005, Randnummern 34, 43-45, 47 und 61, in dem der EuGH die Ansicht vertrat, dass nationale Gerichte bei der Auslegung des nationalen Rechts dazu verpflichtet sind, nach einer rahmenbeschlusskonformen Auslegung zu streben.

[10]             Das war bereits vor der Annahme des Rahmenbeschlusses der Fall (siehe Arbeitsdokument der Kommissionsdienststellen, Folgenabschätzung, SEC(2005)1241 vom 4.10.2005, Punkt 5.1.2.).

[11]             Siehe Tabelle 2.

[12]             Siehe Tabelle 2.

[13]             Siehe Bemerkungen der Niederlande.

[14]             Siehe auch Beitrag Polens (des Innenministeriums) zur von der Kommission Ende 2010 eingeleiteten öffentlichen Anhörung (auf die in seiner Antwort auf den Fragebogen verwiesen wird): http://ec.europa.eu/justice/news/consulting_public/0006/contributions/public_authorities/pl_min_pl.pdf

[15]             Man kann diese Schlussfolgerung ziehen, auch wenn einige Mitgliedstaaten keine Angaben gemacht haben (siehe die näheren Angaben in Tabelle 3).

[16]             Das ist keine in Artikel 17 des Rahmenbeschlusses 2008/977 ausdrücklich genannte Ausnahme. Sie gibt aber eine in Artikel 13 Absatz 1 der Richtlinie 95/46/EG aufgeführte Ausnahme wieder.

[17]             Siehe letzten Satz des Erwägungsgrundes 35 des Rahmenbeschlusses, der festlegt, dass die Befugnisse der Kontrollbehörden „weder die speziellen Vorschriften für Strafverfahren noch die Unabhängigkeit der Gerichte berühren“ dürfen.