23.6.2007   

DE

Amtsblatt der Europäischen Union

C 139/1

1.

Der Europäische Datenschutzbeauftragte hat zu dem Vorschlag der Kommission für einen Rahmenbeschluss des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, zweimal — am 19. Dezember 2005 bzw. am 29. November 2006 — Stellung (3) genommen. In diesen Stellungnahmen hat er die Bedeutung des Vorschlags als wirksames Instrument zum Schutz personenbezogener Daten in dem unter Titel VI des EU-Vertrags fallenden Bereich hervorgehoben. Insbesondere in seiner zweiten Stellungnahme brachte der Europäische Datenschutzbeauftragte seine Bedenken darüber zum Ausdruck, dass die Entwicklungen in den Verhandlungen zu einem Schutzniveau für personenbezogene Daten führten, das nicht nur unter den Standards der Richtlinie 95/46/EG liegen würde, sondern auch mit dem allgemeiner formulierten Übereinkommen Nr. 108 des Europarats (4) unvereinbar wäre.

2.

Im Januar 2007 hat der deutsche Vorsitz eine Reihe von Eckpunkten für eine Überarbeitung des Vorschlags vorgelegt, um die noch bestehenden Vorbehalte abzubauen und den Datenschutz im Rahmen der dritten Säule zu verbessern (5). Der überarbeitete Vorschlag (6) wurde dem EP am 13. April 2007 zu einer zweiten Stellungnahme übermittelt.

3.

Aufgrund der wesentlichen Änderungen im überarbeiteten Vorschlag und der Bedeutung des Vorschlags ist eine neue Stellungnahme des Europäischen Datenschutzbeauftragten erforderlich. Der Europäische Datenschutzbeauftragte konzentriert sich in dieser Stellungnahme auf seine Hauptanliegen und wird nicht alle in seinen früheren Stellungnahmen behandelten Punkte wiederaufgreifen, da diese auch für den überarbeiteten Vorschlag gelten.

4.

Der Europäische Datenschutzbeauftragte begrüßt es, dass der deutsche Vorsitz sich intensiv um die Verhandlungen über diesen Rahmenbeschluss des Rates bemüht. Es ist allgemein bekannt, dass die Verhandlungen im Rat wegen grundlegender Meinungsunterschiede zwischen den Mitgliedstaaten zu wesentlichen Fragen blockiert waren. Es war daher eine kluge Entscheidung des Vorsitzes, diesen Verhandlungen durch Vorlage eines neuen Textes wieder Schwung zu geben.

5.

Die Tatsache, dass der deutsche Vorsitz die Verhandlungen wieder in Schwung gebracht hat, ist an sich sehr positiv. Nach einer gründlichen Prüfung des neuesten Textes ist der Europäische Datenschutzbeauftragte jedoch von dessen Inhalt enttäuscht. Der vom deutschen Vorsitz vorgelegte Text erfüllt nicht die Erwartungen. Folgende Gründe sind dafür zu nennen:

6.

Dem Europäischen Datenschutzbeauftragten ist durchaus bewusst, wie schwierig es ist, im Rat Einstimmigkeit zu erzielen. Das Beschlussfassungsverfahren kann jedoch nicht als Rechtfertigung dafür dienen, dass nach dem Grundsatz des kleinsten gemeinsamen Nenners vorgegangen wird, der zum einen die Grundrechte der EU-Bürger beeinträchtigen und zum anderen die Effizienz der Strafverfolgung einschränken würde. Es wäre in diesem Zusammenhang wünschenswert, wenn die im Datenschutzbereich zur Verfügung stehenden Sachkenntnisse umfassend berücksichtigt und die Empfehlungen des Europäischen Parlaments in seinen Entschließungen (9) angemessen mit einbezogen würden.

7.

Ein Rahmenbeschluss über den Schutz personenbezogener Daten im Rahmen der dritten Säule stellt ein wesentliches Element bei der Schaffung eines Raums der Freiheit, der Sicherheit und des Rechts dar. Durch die zunehmende Bedeutung der polizeilichen und justiziellen Zusammenarbeit in Strafsachen sowie die aus dem Haager Programm (10) resultierenden Maßnahmen ist deutlich geworden, dass gemeinsame Standards beim Schutz personenbezogener Daten im Rahmen der dritten Säule erforderlich sind.

8.

Leider sind die auf europäischer Ebene zur Verfügung stehenden Instrumente, wie der Europäische Datenschutzbeauftragte und andere einschlägige Akteure (11) mehrfach betont haben, unzureichend. Das Übereinkommen Nr. 108 des Europarats, das für die Mitgliedstaaten bindend ist, schreibt allgemeine Grundprinzipien des Datenschutzes fest, ist aber — wenngleich es unter Berücksichtigung der Rechtsprechung des Europäischen Gerichtshof für Menschenrechte ausgelegt werden muss — nicht ausreichend präzise, wie der Europäische Datenschutzbeauftragte mehrfach festgestellt hat (12). Die Richtlinie 95/46/EG, mit der die Grundsätze des Übereinkommens Nr. 108 im Hinblick auf den Binnenmarkt integriert und präzisiert wurden, wurde bereits 1995 angenommen. Diese Richtlinie ist nicht auf Aktivitäten anwendbar, die in den Geltungsbereich der dritten Säule fallen. In Bezug auf Aktivitäten im Bereich der polizeilichen und justiziellen Zusammenarbeit haben alle Mitgliedstaaten die Empfehlung Nr. R (87) 15 (13) gebilligt, in der das Übereinkommen Nr. 108 in gewissem Umfang für den Polizeibereich präzisiert wird; sie ist allerdings kein bindendes Rechtsinstrument.

9.

Artikel 30 Absatz 1 Buchstabe b EUV schreibt in diesem Zusammenhang vor, dass bei gemeinsamen Maßnahmen im Bereich der polizeilichen Zusammenarbeit, die die Verarbeitung von Informationen durch Strafverfolgungsbehörden mit sich bringen, „die entsprechenden Vorschriften über den Schutz personenbezogener Maßnahmen zu beachten sind“. Es gibt keine solchen entsprechenden Vorschriften, solange es keinen Rahmenbeschluss des Rates mit zufriedenstellendem Inhalt gibt.

10.

Es ist ohne weiteres möglich, eine Parallele zur Entwicklung des Binnenmarkts zu ziehen; hier wurde ein hohes Niveau für den Schutz personenbezogener Daten in der gesamten Gemeinschaft als wesentliches Element zur Beseitigung von Hindernissen für den freien Verkehr von Waren, Dienstleistungen, Kapital und Personen betrachtet, was zur Annahme der Richtlinie 95/46/EG führte. Analog ist für einen Raum der Freiheit, der Sicherheit und des Rechts, in dem die Informationen zwischen den mit der Strafverfolgung befassten Behörden auf nationaler Ebene und auf EU-Ebene frei verfügbar sein sollten, ein hohes und einheitliches Niveau für den Schutz personenbezogener Daten in allen Mitgliedstaaten erforderlich.

11.

Die gegenwärtige Situation steht im Widerspruch zu diesen Erwägungen: es gibt keinen derartigen allgemeinen Rahmen und die Bestimmungen über den Schutz personenbezogener Daten im Rahmen der dritten Säule sind „sektorspezifisch“ ausgerichtet und auf verschiedene Rechtsinstrumente verteilt (14). Einige Vorschläge aus letzter Zeit (15) bestätigen und verstärken die bereits bestehende Aufsplitterung der Datenschutzbestimmungen in diesem Bereich und gefährden die Kohärenz dieser Bestimmungen. Darüber hinaus wird dadurch, dass ein allgemeiner Rahmen fehlt, die zügige Annahme zahlreicher Vorschläge im Bereich der polizeilichen und justiziellen Zusammenarbeit beeinträchtigt.

12.

Aus diesen Gründen unterstützte der Europäische Datenschutzbeauftragte in seinen früheren Stellungnahmen nachdrücklich den Vorschlag der Kommission und legte entsprechende Empfehlungen zur Verbesserung des Vorschlags vor, was zur Sicherstellung eines angemessenen Schutzniveaus für die Bürger erforderlich war. Der Europäische Datenschutzbeauftragte hat stets die Auffassung vertreten, dass ein allgemeiner Rahmen für den Datenschutz im Rahmen der dritten Säule einen hohen und kohärenten Datenschutzstandard gewährleisten und sich hierfür auf die Datenschutzprinzipien des Übereinkommens Nr. 108 und der Richtlinie 95/46/EG stützen muss, während bei Bedarf auch die Besonderheiten der Strafverfolgungsaktivitäten berücksichtigt werden.

13.

Die Kohärenz dieses allgemeinen Rahmens mit den Datenschutzgrundsätzen der ersten Säule ist umso wichtiger in einem Kontext, in dem die zunehmende Einbeziehung des Privatsektors in die Strafverfolgung zur Folge hat, dass personenbezogene Daten aus dem Bereich der ersten Säule in den der dritten Säule (wie im Falle der Fluggastdatensätze) oder vom Bereich der dritten Säule in den der ersten Säule übernommen werden. Einschlägige Beispiele lassen sich ohne Weiteres nennen: die Verwendung von „Flugverbotslisten“ mit in Flugzeugen nicht zuzulassenden Personen, die zwecks Gesetzesdurchsetzung von Fluggesellschaften zu Zwecken der ersten Säule (kommerzielle Zwecke und Flugsicherheit) erstellt werden, sowie der Vorschlag über den Zugang der Strafverfolgungsbehörden zur VIS-Datenbank, die als Instrument einer gemeinsamen Visapolitik eingerichtet wurde (16). Der Europäische Datenschutzbeauftragte betont daher, dass die Datenschutzgrundsätze der ersten Säule auch für die dritte Säule gelten müssen. Aufgrund der Besonderheiten der Strafverfolgungsaktivitäten können jedoch zusätzliche Bestimmungen oder Ausnahmeregelungen erforderlich sein (17).

14.

Angemessene, kohärente und umfassend geltende Datenschutzgarantien im Rahmen der dritten Säule sind nicht nur unabdingbar, um die grundlegenden Datenschutzrechte von Personen zu gewährleisten, sondern auch, um eine effiziente Zusammenarbeit im Bereich der Strafverfolgung in einem Raum der Freiheit, der Sicherheit und des Rechts zu fördern.

15.

Vor diesem Hintergrund wird in dieser Stellungnahme geprüft, inwieweit der derzeitige überarbeitete Vorschlag entsprechende Bestimmungen über den Schutz personenbezogener Daten nach Artikel 30 Absatz 1 Buchstabe b EUV vorsieht. Der Europäische Datenschutzbeauftragte wird sich dabei auf einige der Empfehlungen beziehen, die er bereits in seinen früheren Stellungnahmen ausgesprochen hat. Desgleichen wird in dieser Stellungnahme geprüft, ob der überarbeitete Vorschlag den internationalen Verpflichtungen der Mitgliedstaaten, die sich aus dem Übereinkommen Nr. 108 des Europarates und aus der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte ergeben, sowie den in der Empfehlung Nr. R (87) 15 über die Nutzung personenbezogener Daten im Polizeibereich verankerten Grundsätzen Rechnung trägt. Des Weiteren wird der Europäische Datenschutzbeauftragte untersuchen, inwieweit sich die Bestimmungen des Vorschlags auf die Effizienz der polizeilichen und justiziellen Zusammenarbeit auswirken würden.

16.

Der Vorschlag enthält nunmehr einen Erwägungsgrund, wonach die Mitgliedstaaten die Regeln des Rahmenbeschlusses auch auf die innerstaatliche Datenverarbeitung anwenden, damit bereits bei der Erhebung der Daten die Voraussetzungen für die Übermittlung geschaffen werden könnten (Erwägungsgrund 6a). Mit diesem Erwägungsgrund wird versucht, den Bedenken Rechnung zu tragen, die nicht nur der Europäische Datenschutzbeauftragte in seinen früheren Stellungnahmen, sondern auch zahlreiche andere Akteure geäußert hatten. Das Europäische Parlament, die Konferenz der Europäischen Datenschutzbehörden und sogar der Beratende Ausschuss des Europarats zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten — der sich aus Datenschutzbeauftragten der europäischen Regierungen zusammensetzt — haben nämlich bei verschiedenen Gelegenheiten klargestellt, dass die Anwendbarkeit des Rahmenbeschlusses auf die innerstaatliche Verarbeitung personenbezogener Daten eine unerlässliche Voraussetzung ist, nicht nur um einen ausreichenden Schutz personenbezogener Daten sicherzustellen, sondern auch um eine effiziente Zusammenarbeit zwischen den Strafverfolgungsbehörden zu ermöglichen (18).

17.

Der Erwägungsgrund als solcher kann jedoch keine Verpflichtung auferlegen, die in den Bestimmungen nicht ausdrücklich festgelegt ist. Bedauerlicherweise begrenzt Artikel 1 (Zweck und Anwendungsbereich) die Anwendbarkeit des Vorschlags ausdrücklich auf die zwischen Mitgliedstaaten oder Einrichtungen der EU ausgetauschten Daten, wenn sichergestellt werden sollte, dass „die Grundrechte und Grundfreiheiten und insbesondere die Privatsphäre des Betroffenen umfassend gewahrt bleiben, wenn personenbezogene Daten […] übermittelt […] werden“.

18.

Der derzeitige Entwurf räumt daher den Mitgliedstaaten umfassendes Ermessen bei der Anwendung einheitlicher Datenschutzgrundsätze auf die innerstaatliche Verarbeitung personenbezogener Daten ein und verpflichtet die Mitgliedstaaten nicht, die gleichen gemeinsamen Datenschutzstandards anzuwenden, und dies in einem Bereich der polizeilichen und justiziellen Zusammenarbeit, in dem die Binnengrenzen abgeschafft werden müssen. In Anbetracht dessen betont der Europäische Datenschutzbeauftragte erneut, dass die Möglichkeit unterschiedlicher Datenschutzniveaus in den verschiedenen Mitgliedstaaten im Rahmen der dritten Säule

19.

Der Europäische Datenschutzbeauftragte empfiehlt dem Gesetzgeber nachdrücklich, den Anwendungsbereich auszuweiten und dabei die Mitgliedstaaten zu verpflichten — und nicht nur aufzufordern -, den Rahmenbeschluss auf die innerstaatliche Verarbeitung personenbezogener Daten anzuwenden. Darüber hinaus gibt es keine zwingenden rechtlichen Argumente, die die Auffassung stützen, dass die Anwendung auf innerstaatliche Daten nach Artikel 34 EUV nicht gestattet wäre.

20.

Der Grundsatz der Zweckbindung ist eines der Grundprinzipien des Datenschutzes. Insbesondere das Übereinkommen Nr. 108 legt fest, dass personenbezogene Daten „für festgelegte und rechtmäßige Zwecke gespeichert sein müssen und nicht so verwendet werden dürfen, dass es mit diesen Zwecken unvereinbar ist“ (Artikel 5 Buchstabe b). Abweichungen von diesem Grundsatz sind nur zulässig, wenn sie durch das Recht vorgesehen und in einer demokratischen Gesellschaft eine notwendige Maßnahme unter anderem zur „Bekämpfung von Straftaten“ sind (Artikel 9). In der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte wurde deutlich gemacht, dass diese Abweichungen nach Artikel 8 Absatz 2 der Europäischen Menschenrechtskonvention verhältnismäßig, genau und vorhersehbar sein müssen (20).

21.

Im derzeitigen Vorschlag sind die Bestimmungen über die Zweckbindung in den Artikeln 3 und 12 enthalten. Artikel 3 gestattet die Weiterverarbeitung zu Zwecken, die mit dem Zweck vereinbar sind, zu dem die Daten erhoben wurden, und steht daher in dieser Hinsicht mit den Grundprinzipien des Datenschutzes im Einklang.

22.

Allerdings ist Artikel 3 viel zu weit gefasst und enthält keine angemessene Beschränkung der Zwecke im Hinblick auf die Speicherung, was der bereits erwähnte Artikel 5 Buchstabe b des Übereinkommens Nr. 108 ebenfalls vorschreibt. Der allgemeine Verweis auf die Zwecke des Titels VI des EU-Vertrags kann nicht als Bezugnahme auf festgelegte und rechtmäßige Zwecke betrachtet werden. Der Zweck der polizeilichen und justiziellen Zusammenarbeit ist nicht von Natur aus rechtmäßig (21) und sicherlich nicht festgelegt.

23.

Artikel 3 enthält keine Ausnahmen, wie es nach Artikel 9 des Übereinkommens Nr. 108 möglich wäre. Allerdings sieht Artikel 12 des Vorschlags eine sehr weit reichende und nicht eindeutig bestimmte Reihe von Ausnahmen vom Grundsatz der Zweckbindung im Zusammenhang mit personenbezogenen Daten vor, die von anderen Mitgliedstaaten übermittelt oder bereitgestellt werden. Insbesondere wird in dem Artikel nicht ausdrücklich festgelegt, dass die Ausnahmen notwendig sein müssen. Zudem ist nicht klar, welches die „anderen […] verwaltungsbehördlichen Verfahren“ sind, für die Artikel 12 Absatz 1 Buchstabe b die Verarbeitung von personenbezogenen Daten gestattet, die zu einem anderen Zweck erfasst und übermittelt wurden. Artikel 12 Absatz 1 Buchstabe d erlaubt außerdem die Verarbeitung „für jeden anderen Zweck“ mit der einzigen Bedingung, dass die zuständige Behörde, die die personenbezogenen Daten übermittelt hat, ihre Zustimmung erteilt. In diesem Zusammenhang ist zu vermerken, dass auf keinen Fall davon ausgegangen werden kann, dass die Zustimmung der übermittelnden Behörde die Einwilligung der betroffenen Person ersetzt oder eine rechtliche Begründung für eine Abweichung vom Grundsatz der Zweckbindung bietet. Der Europäische Datenschutzbeauftragte möchte daher hervorheben, dass diese weit gefasste und offene Ausnahmeregelung die grundlegenden Anforderungen eines angemessenen Datenschutzes nicht erfüllt und sogar im Widerspruch zu den Grundprinzipien des Übereinkommens Nr. 108 steht. Er empfiehlt deshalb dem Gesetzgeber, die entsprechenden Bestimmungen neu zu formulieren.

24.

Eine letzte Anmerkung betrifft Artikel 12 Absatz 2, der zulässt, dass im Rahmen der dritten Säule angenommene Beschlüsse des Rates Vorrang gegenüber Absatz 1 haben, wenn angemessene Bedingungen für die Verarbeitung personenbezogener Daten vorgesehen sind. Der Europäische Datenschutzbeauftragte stellt fest, dass dieser Absatz sehr allgemein gehalten ist und der Besonderheit des Rahmenbeschlusses des Rates als lex generalis für die polizeiliche und justizielle Zusammenarbeit nicht gerecht wird. Dieses lex generalis sollte für jegliche Verarbeitung personenbezogener Daten in diesem Bereich gelten.

25.

Der Europäische Datenschutzbeauftragte ist der Auffassung, dass die derzeitigen Bestimmungen zur weiteren Verarbeitung von personenbezogenen Daten gegen das Grundprinzip der Zweckbindung verstoßen und sogar unter dem geltenden Standard des Übereinkommens Nr. 108 liegen. Er empfiehlt daher dem Gesetzgeber, die entsprechenden Bestimmungen unter Berücksichtigung bestehender internationaler Datenschutzvorschriften und der einschlägigen Rechtsprechung neu zu formulieren.

26.

Das Übereinkommen Nr. 108 regelt auch die Übermittlung von Daten an Drittländer. Das Zusatzprotokoll über Kontrollstellen und grenzüberschreitenden Datenverkehr schreibt den allgemeinen Grundsatz — vorbehaltlich bestimmter Ausnahmen — fest, dass die Übermittlung von personenbezogenen Daten an Dritte nur zulässig ist, wenn dieser Dritte „ein angemessenes Schutzniveau für die beabsichtigte Datenweitergabe gewährleistet“. Der Grundsatz des „angemessenen Schutzes“ wurde in mehreren Rechtsinstrumenten der Europäischen Union, nicht nur in Rechtsakten der ersten Säule zum Datenschutz, wie der Richtlinie 95/46/EG (22), sondern auch in Rechtsinstrumenten der dritten Säule, wie den Rechtsakten zur Errichtung von Europol und Eurojust, umgesetzt und präzisiert.

27.

Erwägungsgrund 12 des derzeitigen Vorschlags besagt, dass personenbezogene Daten, die an Drittländer oder internationale Stellen übermittelt werden, „grundsätzlich angemessen geschützt werden sollten“. Des Weiteren gestattet Artikel 14, dass personenbezogene Daten, die von einem anderen Mitgliedstaats übermittelt wurden, an Drittstaaten oder internationale Einrichtungen weitergeleitet werden dürfen, wenn die übermittelnde Behörde der Weiterleitung unter Beachtung des innerstaatlichen Rechts zugestimmt hat. In den Bestimmungen des Vorschlags wird somit weder festgelegt, dass ein angemessener Schutz notwendig ist, noch werden gemeinsame Kriterien oder Mechanismen für die Beurteilung der Angemessenheit vorgesehen. Dies bedeutet, dass jeder Mitgliedstaat nach eigenem Ermessen beurteilt, welchen Grad an Angemessenheit das Drittland oder die internationale Einrichtung bieten. Infolgedessen wird die Liste der angemessenen Länder und internationalen Einrichtungen — denen Daten übermittelt werden dürfen — von Mitgliedstaat zu Mitgliedstaat erheblich abweichen.

28.

Dieser Rechtsrahmen würde auch die polizeiliche und justizielle Zusammenarbeit behindern. Die Strafverfolgungsbehörden eines Mitgliedstaats müssten nämlich, wenn sie über ein Ersuchen eines Drittlandes um ein bestimmtes strafrechtliches Dossier entscheiden, nicht nur die Angemessenheit dieses Landes prüfen, sondern hätten auch zu berücksichtigen, ob alle anderen (bis zu 26) Mitgliedstaaten, die zu dem Dossier beigetragen haben, nach einer eigenen Beurteilung der Angemessenheit des betreffenden Drittlandes ihre Zustimmung erteilt haben.

29.

In diesem Zusammenhang vergrößert Artikel 27 des Vorschlags über die Beziehung zu Übereinkünften mit Drittstaaten noch die Unsicherheit, da er vorsieht, dass der Rahmenbeschluss die Verpflichtungen und Zusagen der Mitgliedstaaten oder der Europäischen Union aufgrund bilateraler und/oder multilateraler Übereinkünfte mit Drittstaaten nicht berührt. Nach Auffassung des Europäischen Datenschutzbeauftragten sollte diese Bestimmung eindeutig auf bestehende Übereinkünfte beschränkt werden und festlegen, dass künftige Übereinkünfte mit den Bestimmungen dieses Vorschlags im Einklang stehen müssen.

30.

Der Europäische Datenschutzbeauftragte ist der Ansicht, dass die derzeitigen Bestimmungen über die Übermittlung personenbezogener Daten an Drittländer und internationale Einrichtungen personenbezogene Daten nicht angemessen schützen würden und für die Strafverfolgungsbehörden nicht durchführbar wären. Er betont daher nochmals (23), dass ein angemessenes Schutzniveau sichergestellt werden muss, wenn personenbezogene Daten an Drittländer oder internationale Einrichtungen weitergeleitet werden, und dass Mechanismen vorgesehen werden müssen, die gemeinsame Standards und koordinierte Entscheidungen hinsichtlich der Angemessenheit sicherstellen. Diese Auffassung vertraten auch schon das Europäische Parlament und der Beratende Ausschuss des Europarats zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten.

31.

Artikel 5 des Übereinkommens Nr. 108 schreibt die Grundsätze fest, nach denen die Qualität personenbezogener Daten sicherzustellen ist. Weitere Einzelheiten sind in anderen nicht bindenden Instrumenten wie der Empfehlung Nr. R (87) 15 und den drei bisherigen Evaluierungen dazu dargelegt.

32.

Beim Vergleich des vorliegenden Vorschlags mit den vorgenannten Rechtsinstrumenten wird deutlich, dass in der überarbeiteten Fassung einige wichtige Garantien, von denen einige bereits im Kommissionsvorschlag vorgesehen waren, fehlen:

33.

In Anbetracht dessen ist der Europäische Datenschutzbeauftragte der Auffassung, dass die Bestimmungen des vorliegenden Vorschlags über die Qualität der Daten — insbesondere unter Berücksichtigung der Empfehlung Nr. R (87)15, die von allen Mitgliedstaaten gebilligt wurde — weder angemessen noch vollständig sind und sogar das von dem Übereinkommen Nr. 108 verlangte Schutzniveau unterschreiten. Es ist außerdem angebracht, nochmals darauf hinzuweisen, dass die Richtigkeit personenbezogener Daten sowohl im Interesse der Strafverfolgung auch der betroffenen Personen liegt (27).

34.

Nach Grundsatz 5 (Mitteilung von Daten) der Empfehlung Nr. R (87) 15 sollte die Mitteilung personenbezogener Daten von Strafverfolgungsbehörden an andere öffentliche Stellen oder an Privatparteien nur unter bestimmten, strengen Bedingungen zulässig sein. Entsprechende Bestimmungen, die im ursprünglichen Kommissionsvorschlag enthalten waren und vom Europäischen Datenschutzbeauftragten und vom Europäischen Parlament begrüßt worden waren, wurden nunmehr in der überarbeiteten Fassung gestrichen. Der neue Text enthält somit keine besonderen Garantien für die Übermittlung von personenbezogenen Daten an Privatparteien oder an andere Behörden als Strafverfolgungsbehörden.

35.

Darüber hinaus ist Strafverfolgungungsbehörden der Zugang zu personenbezogenen Daten, über die Privatparteien verfügen, und die Weiterverwendung solcher Daten nur auf der Grundlage genau festgelegter Bedingungen und Beschränkungen zu gestatten. Insbesondere ist Strafverfolgungsbehörden der Zugang — wie der Europäische Datenschutzbeauftragte bereits in seinen früheren Stellungnahmen dargelegt hat — nur von Fall zu Fall unter bestimmten Umständen, für bestimmte Zwecke und unter gerichtlicher Aufsicht in den Mitgliedstaaten zu gewähren. Die Entwicklungen in der jüngsten Zeit, wie die Richtlinie 2006/24/EG (28) über Datenvorratsspeicherung, das Abkommen mit den Vereinigten Staaten über Fluggastdatensätze (29) und der Zugriff von Strafverfolgungsbehörden auf Daten, über die SWIFT (30) verfügt, bestätigen die grundlegende Bedeutung solcher Garantien. Es ist zu bedauern, dass der derzeitige Vorschlag keine besonderen Garantien hinsichtlich des Zugangs von Strafverfolgungsbehörden zu personenbezogenen Daten, die von Privatparteien erfasst wurden, und der Weiterverwendung solcher Daten durch diese Behörden vorsieht.

36.

In Anbetracht dessen vermerkt der Europäische Datenschutzbeauftragte, dass der derzeitige Vorschlag in Bezug auf den Austausch personenbezogener Daten mit Privatparteien und nicht zuständigen Behörden die Grundsätze der Empfehlung Nr. R (87) 15 nicht einhält und die grundlegende Frage des Zugangs von Strafverfolgungsbehörden zu personenbezogenen Daten, über die Privatparteien verfügen, und der Weiterverwendung solcher Daten durch diese Behörden nicht regelt.

37.

Neben den oben dargelegten Hauptproblemen möchte der Europäische Datenschutzbeauftragte den Gesetzgeber auf folgende Punkte aufmerksam machen, die in zum größten Teil bereits in seinen früheren Stellungnahmen ausführlicher behandelt wurden:

38.

Der überarbeitete Vorschlag enthält gegenüber dem Kommissionsvorschlag ein vollständig neues Element. Er erfasst Tätigkeiten der europäischen Organe und Einrichtungen im Rahmen der dritten Säule (Artikel 1 Absatz 2 des Vorschlags). Nach dem Erwägungsgrund 20 schließt dies die Datenverarbeitung durch Europol, Eurojust und das Zollinformationssystem der dritten Säule mit ein. Artikel 1 Absatz 2 nennt nicht nur die europäischen Einrichtungen, sondern auch die Organe, was bedeutet, dass beispielsweise die Datenverarbeitung im Rat dem Rahmenbeschluss des Rates unterworfen sein sollte. Es ist nicht klar, ob die Verfasser einen so weiten Geltungsbereich beabsichtigten oder ob sie die Anwendung auf die drei im Erwägungsgrund 20 genannten Einrichtungen beschränken wollten. Der Text müsste auf jeden Fall präzisiert werden, um Rechtsunsicherheit zu vermeiden.

39.

Dies führt zu einer allgemeineren Feststellung. Nach Auffassung des Europäischen Datenschutzbeauftragten ist es äußerst wichtig, dass ein angemessenes Datenschutzniveau im gesamten Bereich der dritten Säule garantiert wird, da nur unter solchen Bedingungen ein freier Informationsaustausch in einem Raum der Freiheit, der Sicherheit und des Rechts ohne Binnengrenzen ausreichend erleichtert würde. Dies umfasst die Anwendung des allgemeinen Datenschutzrahmens auf die europäischen Einrichtungen in der dritten Säule. Der Europäische Datenschutzbeauftragte hat dies bereits in Abschnitt IV seiner Stellungnahme zum Vorschlag für einen Beschluss des Rates über Europol hervorgehoben.

40.

Aus Gründen einer effizienten Gesetzgebung bezweifelt der Europäische Datenschutzbeauftragte jedoch ernsthaft, ob der vorliegende Rahmenbeschluss des Rates die Aktivitäten der europäischen Einrichtungen, die im Rahmen der dritten Säule tätig sind, erfassen sollte. Das erste Argument, das gegen diesen weiten Geltungsbereich spricht, betrifft die Gesetzgebungspolitik. Der Europäische Datenschutzbeauftragte befürchtet, dass bei einer Einbeziehung der europäischen Einrichtungen in den vorliegenden Text die Gefahr bestünde, dass die Beratungen im Rat auf dieses neue Element anstatt auf die grundlegenden Bestimmungen über den Datenschutz konzentrieren werden. Der Gesetzgebungsprozess wird dadurch verkompliziert. Das zweite Argument ist rechtlicher Natur. Auf den ersten Blick scheint es, dass ein Rahmenbeschluss des Rates — ein Instrument, das mit einer Richtlinie nach dem EG-Vertrag verglichen werden kann — nicht das geeignete Instrument ist, um die Rechte und Pflichten von europäischen Einrichtungen zu regeln. Artikel 34 EUV führt dieses Instrument für die Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten ein. Es besteht auf jeden Fall die Gefahr, dass die Rechtsgrundlage während des Gesetzgebungsprozesses oder im Anschluss daran angefochten wird.

41.

Eine ähnliche Auffassung hinsichtlich des Wahl des Rechtsinstruments vertritt der Europäische Datenschutzbeauftragte zu Artikel 26 des Entwurfs, in dem die Einrichtung einer neuen gemeinsamen Kontrollinstanz vorgesehen ist, die die bestehenden Behörden ersetzt, die die Datenverarbeitung in Einrichtungen der dritten Säule überwachen. Die Absicht, eine solche Kontrollinstanz einzurichten, mag an sich logisch erscheinen. Sie könnte zu einem effizienteren Kontrollsystem führen und eine größere Kohärenz des Schutzniveaus in den im Rahmen der dritten Säule geschaffenen Einrichtungen sicherstellen.

42.

Derzeit ist eine neue Kontrollinstanz jedoch nicht unmittelbar erforderlich. Die Kontrolle an sich funktioniert auf zufriedenstellende Weise. Ferner hat der Präsident von Eurojust Einwände gegen die Anwendung dieses Kontrollsystems auf Eurojust erhoben. Ohne auf die Begründetheit dieser Einwände einzugehen, liegt es jedoch auf der Hand, dass der Gesetzgebungsprozess noch schwieriger würde, wenn die Kontrolle von EU-Einrichtungen in den Rahmenbeschluss des Rates mit einbezogen würde. Darüber hinaus stünde dieser Ansatz nicht im Einklang mit anderen Vorschlägen in diesem Bereich, die derzeit vorliegen (31) oder vor kurzem angenommen wurden (32).

43.

Kurz gesagt: der Europäische Datenschutzbeauftragte rät davon ab, Bestimmungen über die Datenverarbeitung durch EU-Einrichtungen in den Rahmenbeschluss des Rates aufzunehmen. Der Europäische Datenschutzbeauftragte empfiehlt dies aus Gründen einer effizienten Gesetzgebungsarbeit. Es ist wichtig, dass der Rat all seine Bemühungen auf die grundlegenden Datenschutzbestimmungen konzentriert, damit die Bürger den notwendigen Schutz erhalten.

44.

Der Europäische Datenschutzbeauftragte begrüßt es, dass der deutsche Vorsitz diesem Dossier neuen Schwung gibt. Wie der Europäische Datenschutzbeauftragte und andere maßgebliche Akteure bereits bei mehreren Gelegenheiten hervorgehoben haben, ist es von entscheidender Bedeutung, dass ein allgemeiner Rahmen für den Datenschutz im Rahmen der dritten Säule festgelegt wird, damit die Entwicklung des Raums der Freiheit, der Sicherheit und des Rechts unterstützt wird, in dem das Recht der Bürger auf den Schutz personenbezogener Daten einheitlich garantiert und die Zusammenarbeit zwischen den Strafverfolgungsbehörden ungeachtet nationaler Grenzen stattfinden kann.

45.

Der überarbeitete Vorschlag wird jedoch keinem dieser Ziele gerecht. Da kein hohes und umfassend geltendes Datenschutzniveau sichergestellt wird, unterwirft der Vorschlag nämlich den Informationsaustausch immer noch verschiedenen einzelstaatlichen „Ursprungsregeln“ und „doppelten Standards“, durch die die Effizienz der Zusammenarbeit bei der Strafverfolgung stark beeinträchtigt wird, während der Schutz der personenbezogenen Daten nicht verbessert wird.

46.

Um ein konkretes Beispiel zu nennen: Dies würde bedeuten, dass eine Strafverfolgungsbehörde auf nationaler Ebene oder EU-Ebene bei der Bearbeitung eines strafrechtlichen Dossiers — das sich aus Informationen zusammensetzt, die von verschiedenen innerstaatlichen Behörden, Behörden anderer Mitgliedstaaten und EU-Behörden stammen — auf verschiedene Teile der Informationen unterschiedliche Verarbeitungsbestimmungen anwenden müsste, je nachdem, ob die personenbezogenen Daten im eigenen Land erhoben wurden oder nicht, ob jede der übermittelnden Behörden ihre Zustimmung zu dem geplanten Zweck erteilt hat, ob bei der Speicherung die Fristen eingehalten werden, die in den geltenden Rechtsvorschriften einer jeden der übermittelnden Stellen festgelegt sind, ob Beschränkungen der Weiterverarbeitung, die von jeder der übermittelnden Stellen verlangt werden, die Verarbeitung nicht verbieten, ob im Falle eines Ersuchens eines Drittlandes jede der übermittelnden Stellen ihre Zustimmung entsprechend ihrer eigenen Beurteilung der Angemessenheit und/oder gemäß internationalen Verpflichtungen erteilt hat. Darüber hinaus werden der Schutz und die Rechte der Bürger enorme Unterschiede aufweisen und unterschiedlichen, weit gefassten Ausnahmeregelungen unterliegen, je nachdem, in welchem Mitgliedstaat die Verarbeitung stattfindet.

47.

Ferner bedauert der Europäische Datenschutzbeauftragte, dass die legislative Qualität des Textes unzureichend ist und dass der Vorschlag das Dossier noch komplexer macht, da er den Geltungsbereich des Rahmenbeschlusses auf Europol, Eurojust und das Zollinformationssystem der dritten Säule ausdehnt und die Einrichtung einer gemeinsamen Kontrollinstanz auf der Grundlage eines ungeeigneten Rechtsinstruments vorsieht.

48.

Der Europäische Datenschutzbeauftragte ist besorgt, da wesentliche Bestimmungen für den Schutz personenbezogener Daten, die im Kommissionsvorschlag enthalten waren, aus dem derzeitigen Text gestrichen wurden. Dadurch wird das Schutzniveau für die Bürger erheblich gemindert. Erstens bietet der Text keinen zusätzlichen Nutzen gegenüber dem Übereinkommen Nr. 108, da aus der Sicht des Datenschutzes keine entsprechenden Bestimmungen nach Maßgabe von Artikel 30 Absatz 1 EUV vorgesehen werden. Zweitens wird in vielerlei Hinsicht das vom Übereinkommen Nr. 108 geforderte Schutzniveau nicht erreicht. Der Europäische Datenschutzbeauftragte ist daher der Auffassung, dass dieser Vorschlag grundlegend verbessert werden müsste, bevor er als Grundlage für die Beratungen über einen angemessenen allgemeinen Rahmen für den Datenschutz im Bereich der dritten Säule dienen könnte. Durch diese Verbesserungen sollte sichergestellt werden, dass der allgemeine Rahmen

49.

Dem Europäischen Datenschutzbeauftragten ist durchaus bewusst, wie schwierig es ist, im Rat Einstimmigkeit zu erzielen. Das Beschlussfassungsverfahren kann jedoch nicht als Rechtfertigung dafür dienen, dass nach dem Grundsatz des kleinsten gemeinsamen Nenners vorgegangen wird, der zum einen die Grundrechte der EU-Bürger beeinträchtigen und zum anderen die Effizienz der Strafverfolgung einschränken würde.