6.11.2012   

DE

Amtsblatt der Europäischen Union

C 336/7

1.

Am 28. März 2012 nahm die Kommission eine Mitteilung mit folgendem Titel an: „Kriminalitätsbekämpfung im digitalen Zeitalter: Errichtung eines Europäischen Zentrums zur Bekämpfung von Cyberkriminalität“ (1).

2.

Der EDSB stellt fest, dass der Rat am 7.-8. Juni 2012 die Schlussfolgerungen zur Errichtung eines Europäischen Zentrums zur Bekämpfung der Cyberkriminalität angenommen hat (2). Der Rat billigt die Zielsetzungen der Mitteilung, unterstützt die Errichtung des Zentrums (nachfolgend auch als „EC3“ bezeichnet) innerhalb von Europol und die Nutzung bestehender Strukturen zur Zusammenarbeit mit anderen Bereichen der Kriminalitätsbekämpfung, bestätigt, dass das EC3 als Anlaufstelle im Kampf gegen die Cyberkriminalität dienen soll, dass das EC3 eng mit den relevanten Agenturen und Akteuren auf internationaler Ebene zusammenarbeiten soll und ruft die Kommission in Konzertation mit Europol dazu auf, den Umfang der spezifischen Aufgaben auszuarbeiten, die erforderlich sind, um dafür zu sorgen, dass das EC3 vor Ende 2013 seinen Betrieb aufnehmen wird. In den Schlussfolgerungen wird jedoch nicht auf die Bedeutung der Grundrechte und insbesondere auf den Datenschutz im Zusammenhang mit der Errichtung des EC3 verwiesen.

3.

Vor Annahme der Mitteilung der Kommission hatte der EDSB die Möglichkeit, informell zum Entwurf der Mitteilung Stellung zu nehmen. Im Rahmen dieser informellen Anmerkungen unterstrich der EDSB, dass der Datenschutz ein wesentlicher Aspekt ist, der bei der Einrichtung des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität berücksichtigt werden muss. Leider wurden diese informellen Anmerkungen bei Ausarbeitung der Mitteilung nicht berücksichtigt. Außerdem wird in den Schlussfolgerungen des Rates gefordert, dass das Zentrum bereits im nächsten Jahr seinen Betrieb aufnehmen soll. Aus diesem Grund ist der Datenschutz bei den nächsten Schritten zu berücksichtigen, die bereits in Kürze ergriffen werden.

4.

In der vorliegenden Stellungnahme wird auf die Bedeutung des Datenschutzes bei der Errichtung des EC3 eingegangen. Sie enthält spezifische Vorschläge, die bei der Ausarbeitung des Mandats des EC3 und der legislativen Überprüfung des rechtlichen Rahmens von Europol berücksichtigt werden sollten. Aus diesem Grund nahm der EDSB gemäß Artikel 41 Absatz 2 der Verordnung (EG) Nr. 45/2005 die vorliegende Stellungnahme in Eigeninitiative an.

5.

In ihrer Mitteilung verkündete die Kommission die Absicht, ein Europäisches Zentrum zur Bekämpfung der Cyberkriminalität als vorrangiges Ziel der Strategie der inneren Sicherheit zu errichten (3).

6.

Die Mitteilung enthält eine nicht erschöpfende Liste der verschiedenen Deliktformen der Cyberkriminalität, mit denen das Zentrum sich vorrangig befassen sollte: von organisierten kriminellen Vereinigungen begangene Cyberstraftaten, insbesondere Straftaten mit hohen illegalen Erträgen (z. B. Online-Betrug), Cyberstraftaten mit schwerwiegenden Folgen für die Opfer (z. B. mit Hilfe des Internets begangener sexueller Missbrauch von Kindern) und Cyberstraftaten (einschließlich Cyberangriffe) gegen kritische Infrastrukturen und Informationssysteme in der Union.

7.

Was die Arbeit des Zentrums angeht, werden in der Mitteilung vier Kernaufgaben aufgeführt (4):

8.

Die vom EC3 verarbeiteten Daten werden aus umfangreichen öffentlichen, privaten und offenen Quellen zusammengetragen, und reichern die verfügbaren polizeilichen Daten an und betreffen Informationen über Cyberstraftaten, über die Vorgehensweisen der Täter und über verdächtige Personen. Das EC3 wird auch direkt mit anderen europäischen Agenturen und Einrichtungen zusammenarbeiten. Dies geschieht durch die Mitwirkung dieser Akteure im Programmausschuss des EC3 und durch eine je nach Bedarf erfolgende operative Zusammenarbeit.

9.

Nach Ansicht der Kommission wäre das EC3 die optimale Schnittstelle zu den von Interpol ergriffenen Maßnahmen zur Bekämpfung der Cyberkriminalität und zu anderen internationalen Polizeidienststellen. Das EC3 sollte auch, gemeinsam mit Interpol und den strategischen Partnern in aller Welt an besser koordinierten Antworten für die Bekämpfung von Cyberstraftaten arbeiten.

10.

Praktisch schlägt die Kommission vor, das EC3 als Teil von Europol einzurichten. Das EC3 wird Teil von Europol  (5) sein und folglich dem Rechtsrahmen von Europol unterstellt sein (6).

11.

Nach Ansicht der Kommission (7), bestehen die wichtigsten Neuerungen der aktuellen Aktivitäten von Europol, zu denen es aufgrund des vorgeschlagenen EC3 kommen wird, in: i) mehr Ressourcen zur effizienten Einholung von Informationen aus verschiedenen Quellen ii) Informationsaustausch mit Partnern außerhalb des Strafverfolgungsbereichs (hauptsächlich aus dem privaten Sektor).

12.

Der EDSB beabsichtigt mit dieser Stellungnahme:

13.

Die Stellungnahme ist folgendermaßen aufgebaut: In Teil 2.1 wird ausgeführt, warum der Datenschutz ein wesentliches Element bei der Errichtung des EC3 ist. In Teil 2.2 wird auf die Vereinbarkeit der in der Mitteilung für das EC3 vorgesehenen Ziele mit dem Rechtsmandat von Europol eingegangen. Teil 2.3 befasst sich mit der Zusammenarbeit mit dem privaten Sektor und internationalen Partnern.

50.

Der EDSB betrachtet die Bekämpfung der Cyberkriminalität als Eckstein der Gewährleistung von Sicherheit im digitalen Raum und zur Schaffung des erforderlichen Vertrauens. Der EDSB stellt fest, dass die Vereinbarkeit mit den Datenschutzbestimmungen als wesentlicher Bestandteil der Bekämpfung der Cyberkriminalität und nicht als Einschränkung ihrer Effizienz betrachtet werden sollte.

51.

In der Mitteilung wird Bezug genommen auf die Errichtung eines neuen Europäischen Zentrums zur Bekämpfung der Cyberkriminalität innerhalb von Europol, während bereits seit einer Reihe von Jahren ein „Europol Cyber Crime Centre“ besteht. Der EDSB würde mehr Klarheit im Hinblick auf die neuen Kapazitäten und Tätigkeiten begrüßen, die das neue EC3 von dem bestehenden „Europol Cyber Crime Centre“ unterscheiden.

52.

Der EDSB empfiehlt, dass die Kompetenzen des EC3 eindeutig definiert werden und nicht nur mittels Verweis auf das Konzept der „Computerkriminalität“, das Teil des aktuellen Rechtsrahmens von Europol ist. Auch die Definition der Kompetenzen und der Datenschutzgarantien des EC3 sollten Teil der Überarbeitung der Europol-Rechtsvorschriften sein. Bis die neuen Europol-Rechtsvorschriften anwendbar sein werden, empfiehlt der EDSB der Kommission, diese Kompetenzen und Datenschutzgarantien im Mandat des Zentrums festzulegen. Dies sollte Folgendes umfassen:

53.

Der EDSB ist der Ansicht, dass der Austausch personenbezogener Daten zwischen dem EC3 und Akteuren, die über „umfangreiche, öffentliche, private und offene Quellen“ verfügen, spezifische Datenschutzrisiken aufwirft, da dies häufig zur Verarbeitung von Daten führen wird, die zu kommerziellen Zwecken zusammengetragen wurden, sowie eine internationale Datenübertragung mit sich bringt. Diese Risiken werden vom aktuellen Europol-Beschluss angegangen, der vorsieht, dass Europol generell keine Daten direkt mit dem privaten Sektor und nur unter sehr konkreten Umständen mit spezifischen internationalen Organisationen austauschen darf.

54.

Vor diesem Hintergrund und angesichts der Bedeutung dieser beiden Tätigkeiten für das EC3 empfiehlt der EDSB, dass in Übereinstimmung mit den bestehenden Bestimmungen der Europol-Entscheidung angemessene Datenschutzgarantien vorgesehen werden. Diese Garantien sollten in dem vom Umsetzungsteam auszuarbeitenden Mandat des EC3 eingegliedert werden (und später im überarbeiteten Europol-Rechtsrahmen) und dürfen auf keinen Fall zu einem niedrigeren Datenschutzniveau führen.