21.7.2011   

DE

Amtsblatt der Europäischen Union

C 215/13


Stellungnahme des Europäischen Datenschutzbeauftragten zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Haushaltsordnung für den Jahreshaushaltsplan der Europäischen Union

2011/C 215/05

DER EUROPÄISCHE DATENSCHUTZBEAUFTRAGTE —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere Artikel 16,

gestützt auf die Charta der Grundrechte der Europäischen Union, insbesondere Artikel 7 und 8,

gestützt auf Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1),

gestützt auf das Ersuchen um eine Stellungnahme gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (2), das von der Kommission am 5. Januar 2011 übermittelt wurde —

HAT FOLGENDE STELLUNGNAHME ANGENOMMEN:

I.   EINFÜHRUNG

1.

Am 22. Dezember 2010 verabschiedete die Kommission einen Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Haushaltsordnung für den Jahreshaushaltsplan der Europäischen Union („der Vorschlag“). Dieser vereinigt und ersetzt zwei frühere Vorschläge der Kommission über die Überarbeitung der Haushaltsordnung („die HO“, Verordnung des Rates (EG, Euratom) Nr. 1605/2002 (3)). Diese zwei Vorschläge betrafen einerseits die dreijährliche Überarbeitung der HO und andererseits die Überarbeitung der HO zur Anpassung an den Vertrag von Lissabon (4).

2.

Am 5. Januar 2011 wurde der Vorschlag gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 dem Europäischen Datenschutzbeauftragten übermittelt. Der EDSB wurde vor der Verabschiedung des Vorschlags informell konsultiert. Der EDSB empfiehlt dem Gesetzgeber, am Beginn der vorgeschlagenen Verordnung einen Hinweis auf die Konsultation des EDSB einzufügen.

3.

Der Vorschlag hat bestimmte Auswirkungen auf den Datenschutz auf EU- sowie einzelstaatlicher Ebene, die in dieser Stellungnahme erörtert werden.

4.

Verweise auf für den Datenschutz relevante Rechtsakte sind in dem Vorschlag enthalten. Allerdings ist, wie in dieser Stellungnahme erläutert wird, eine weitere Ausarbeitung und Klarstellung notwendig, um die vollständige Einhaltung des rechtlichen Rahmens für den Datenschutz zu gewährleisten.

II.   ANALYSE DES VORSCHLAGS

II.1   Allgemeine Verweise auf relevante EU-Datenschutzvorschriften

5.

Die vorgeschlagene Verordnung deckt mehrere Themen ab, die die Verarbeitung personenbezogener Daten durch Organe, Agenturen und Einrichtungen der EU sowie durch Verwaltungseinheiten auf Ebene der Mitgliedstaaten betreffen. Diese Verarbeitungsvorgänge werden weiter unten genauer analysiert. Bei der Verarbeitung personenbezogener Daten sind die Organe, Agenturen und Einrichtungen der EU an die Datenschutzvorschriften der Verordnung (EG) Nr. 45/2001 gebunden. Organe, die auf einzelstaatlicher Ebene agieren, sind an die in Ausführung der Richtlinie 95/46/EG erlassenen nationalen Vorschriften in dem betreffenden Mitgliedstaat gebunden.

6.

Der EDSB nimmt erfreut zur Kenntnis, dass in der vorgeschlagenen Verordnung Verweise auf einen dieser zwei Rechtsakte bzw. auf beide enthalten sind (5). Allerdings wird in dem Vorschlag nicht systematisch und konsequent auf die Rechtsakte Bezug genommen. Der EDSB ermutigt den Gesetzgeber daher dazu, in dieser Verordnung einen umfassenderen Ansatz zu diesem Punkt zu wählen.

7.

Der EDSB empfiehlt dem Gesetzgeber, den folgenden Verweis auf die Richtlinie 95/46/EG und die Verordnung (EG) Nr. 45/2001 in die Präambel der Verordnung aufzunehmen:

„Diese Verordnung berührt nicht die Bestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr.“

8.

Überdies empfiehlt der EDSB, in Artikel 57 Absatz 2 Buchstabe f einen Verweis auf Richtlinie 95/46/EG und auf Verordnung (EG) Nr. 45/2001 einzufügen, wie es bereits in Artikel 31 Absatz 3 des Vorschlags geschehen ist.

II.2   Prävention, Aufdeckung von Betrug und Unregelmäßigkeiten sowie entsprechende Korrekturmaßnahmen

9.

Artikel 28 des Vorschlags befasst sich mit der internen Kontrolle des Haushaltsvollzugs. Absatz 2 Buchstabe d sieht vor, dass für den Zweck des Vollzugs des Haushaltsplans, die interne Kontrolle darauf ausgerichtet ist, eine hinreichende Gewähr dafür zu geben, dass die Prävention und Aufdeckung von Betrug und Unregelmäßigkeiten sowie entsprechende Korrekturmaßnahmen erreicht werden.

10.

Für den Fall des indirekten Vollzugs des Haushaltsplans durch die Kommission auf dem Wege einer geteilten Mittelverwaltung mit Mitgliedstaaten oder mit anderen Einrichtungen und Personen als den Mitgliedstaaten heißt es in Artikel 56 Absatz 2 bzw. Artikel 57 Absatz 3, dass die Mitgliedstaaten und Einrichtungen sowie andere Personen bei der Wahrnehmung von Aufgaben im Zusammenhang mit der Ausführung von Mitteln aus dem Haushalt sämtliche Maßnahmen zur Prävention und Aufdeckung von Unregelmäßigkeiten und Betrug sowie entsprechende Korrekturmaßnahmen ergreifen. Es ist selbstverständlich, dass solche Maßnahmen in vollem Umfang mit den einzelstaatlichen Vorschriften zur Umsetzung der Richtlinie 95/46/EG im Einklang stehen müssen.

11.

Gleichermaßen heißt es in Artikel 56 Absatz 4 Buchstabe f (der in der logischen Reihenfolge der Unterabsätze Absatz 4 Buchstabe e sein sollte), dass die von den Mitgliedstaaten akkreditierten Einrichtungen, die allein für die ordnungsgemäße Verwaltung und Kontrolle der Mittel verantwortlich sind, sicherstellen, „den Schutz personenbezogener Daten entsprechend den Grundsätzen der Richtlinie 95/46/EG zu gewährleisten“. Der EDSB empfiehlt, diesen Wortlaut zu verstärken und durch „sicherstellen, dass jegliche Verarbeitung personenbezogener Daten im Einklang mit den einzelstaatlichen Vorschriften zur Umsetzung der Richtlinie 95/46/EG steht“ zu ersetzen.

12.

Was andere Einrichtungen und Personen als die Mitgliedstaaten betrifft, heißt es in Artikel 57 Absatz 2 Buchstabe f, dass sich diese Einrichtungen und Personen verpflichten, „für einen angemessenen Schutz personenbezogener Daten Sorge zu tragen.“ Der EDSB übt nachdrücklich Kritik an diesem Wortlaut, da er einer weniger strengen Anwendung von Datenschutzvorschriften Raum bieten könnte. Der EDSB empfiehlt daher, dass auch dieser Wortlaut durch „sicherstellen, dass jegliche Verarbeitung personenbezogener Daten im Einklang mit den einzelstaatlichen Vorschriften zur Umsetzung der Richtlinie 95/46/EG steht“ ersetzt wird.

II.3   Informanten

13.

Artikel 63 Absatz 8 des Vorschlags befasst sich mit dem Phänomen der „Informanten“ (whistle-blowing). Es auferlegt den mit der finanziellen Abwicklung oder Kontrolle betrauten Bediensteten die Pflicht, den bevollmächtigten Anweisungsbefugten (oder das Fachgremium für finanzielle Unregelmäßigkeiten, das gemäß Artikel 70 Absatz 6 des Vorschlags eingesetzt wird) zu unterrichten, falls der Bedienstete der Ansicht ist, dass eine Entscheidung, der er auf Anweisung seines Dienstvorgesetzten Folge leisten oder zustimmen soll, eine Unregelmäßigkeit aufweist oder gegen den Grundsatz der Wirtschaftlichkeit der Haushaltsführung oder gegen die von ihm einzuhaltenden berufsbezogenen Regeln verstößt. Falls es sich um eine rechtswidrige Tätigkeit, Betrug oder Korruption zum Nachteil der Interessen der Union handeln könnte, unterrichtet er die in den geltenden Rechtsvorschriften bezeichneten Behörden und Stellen.

14.

Der EDSB möchte auf die Tatsache hinweisen, dass sich Informanten in einer heiklen Lage befinden. Personen, die solche Informationen erhalten, sollten sicherstellen, dass die Identität eines Informanten geheim gehalten wird, besonders gegenüber der Person, über die ein angebliches Fehlverhalten berichtet wird (6). Die Vertraulichkeit der Identität eines Informanten zu gewährleisten, schützt nicht nur die Person, die diese Informationen liefert, sondern sichert auch die Wirksamkeit des Systems der Informanten als solches. Ohne hinreichende Garantien bezüglich der Vertraulichkeit werden Bedienstete weniger geneigt sein, Unregelmäßigkeiten oder rechtswidrige Handlungen zu melden.

15.

Der Schutz der Vertraulichkeit der Identität des Informanten ist allerdings nicht absolut. Nach der ersten internen Untersuchung kann es zu weiteren Verfahrens- oder gerichtlichen Schritten kommen, die eine Offenlegung der Identität des Informanten erfordern, zum Beispiel gegenüber Justizbehörden. Die einzelstaatlichen Vorschriften zu gerichtlichen Verfahren sind hierbei einzuhalten (7).

16.

Es kann unter Umständen auch Situationen geben, in denen der Person, der ein Fehlverhalten vorgeworfen wurde, das Recht zusteht, den Namen des Informanten zu erhalten. Das ist möglich, wenn diese Person die Identität benötigt, um Gerichtsverfahren gegen den Informanten einzuleiten, nachdem er nachweislich und vorsätzlich Falschaussagen über sie gemacht hat (8).

17.

Der EDSB empfiehlt, den gegenwärtigen Vorschlag zu ändern und sicherzustellen, dass die Identität von Informanten während der Untersuchungen vertraulich gehalten wird, soweit dies nicht gegen einzelstaatliche verfahrensrechtliche Bestimmungen verstößt und soweit die eines Fehlverhaltens beschuldigte Person keinen Anspruch auf sie hat, weil die Identität des Informanten für die Einleitung von Gerichtsverfahren gegen den Informanten erforderlich ist, nachdem festgestellt wurde, dass der Informant vorsätzlich Falschaussagen über sie gemacht hat.

II.4   Veröffentlichung von Informationen über die Empfänger von Haushaltsmitteln

18.

Gemäß Artikel 31 Absatz 2 (Veröffentlichung der Empfänger von Mitteln der Union und Veröffentlichung anderer Informationen) stellt die Kommission in geeigneter Weise Informationen über die Empfänger von Haushaltsmitteln zur Verfügung, die sie, wenn die Mittel unmittelbar von der Kommission oder durch Übertragung bewirtschaftet wurden, selbst festgehalten hat.

19.

In Absatz 3 von Artikel 31 heißt es: „Bei der Bereitstellung dieser Informationen sind unter Berücksichtigung der Besonderheiten der einzelnen Haushaltsvollzugsarten […] und gegebenenfalls im Einklang mit den maßgeblichen Sektorverordnungen die einschlägigen Vertraulichkeitserfordernisse, insbesondere der Schutz personenbezogener Daten nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates und der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates ebenso zu beachten wie die einschlägigen Sicherheitsanforderungen.“

20.

Der Europäische Gerichtshof („EuGH“) hat sich in seinem Urteil vom November 2010 in der Rechtssache Schecke und Eifert mit der Bekanntgabe der Identität von Empfängern von EU-Mitteln befasst (9). Ohne auf die Einzelheiten dieser Rechtssache einzugehen, sei hervorzuheben, dass der EuGH sorgfältig geprüft hat, ob die Rechtsvorschriften der EU, die die Verpflichtung zur Offenlegung der Informationen enthielten, im Einklang mit Artikel 7 und 8 der Charta der Grundrechte der Europäischen Union („EU-Grundrechtecharta“) stehen.

21.

Der EuGH prüfte den Zweck, zu dem Informationen offengelegt wurden, und anschließend die Verhältnismäßigkeit der Maßnahme. Der EuGH war der Ansicht, dass die Organe und Einrichtungen vor der Offenlegung von Informationen über eine natürliche Person verpflichtet sind, das Interesse der Europäischen Union an der Offenlegung gegen die Verletzung von Rechten gemäß der EU-Grundrechtecharta abzuwägen (10). Der EuGH betonte, dass Ausnahmen und Beschränkungen in Bezug auf den Schutz personenbezogener Daten nur soweit Anwendung finden dürfen, als dies unbedingt nötig ist (11).

22.

Der EuGH war der Ansicht, dass die Organe und Einrichtungen unterschiedliche Arten der Veröffentlichung prüfen sollten, um diejenige zu finden, die im Einklang mit dem Zweck der Veröffentlichung steht und zugleich den kleinsten Eingriff in das Recht der Empfänger auf Privatleben im Allgemeinen und auf den Schutz ihrer personenbezogenen Daten im Besonderen bedeutet (12). Im Zusammenhang mit dem konkreten Fall sprach sich der EuGH dafür aus, die Bekanntgabe von Daten in Form des Namens der Empfänger auf die Zeiträume, für die sie Finanzhilfe erhalten haben, oder auf die Häufigkeit bzw. Art und den Betrag der erhaltenen Finanzhilfe zu beschränken (13).

23.

Der EDSB betont erneut, dass die Rolle des Schutzes der Privatsphäre und des Datenschutzes nicht darin besteht, den Zugang der Öffentlichkeit zu Informationen in Verbindung mit personenbezogenen Daten zu verhindern und die Transparenz der EU-Verwaltung über Gebühr einzuschränken. Der EDSB bekräftigt die Auffassung, dass der Grundsatz der Transparenz eine engere Beteiligung der Bürger am Entscheidungsprozess ermöglicht, der Verwaltung eine größere Legitimität verleiht und mehr Effizienz und Verantwortung dem Bürger gegenüber in einem demokratischen System gewährleistet; die Veröffentlichung von Daten in angemessener Weise auf dem Internet, unter namentlicher Nennung der Empfänger von Mitteln trage zur angemessenen Verwendung öffentlicher Mittel durch die Verwaltung bei und stärke die öffentliche Kontrolle des Verwendungszwecks jener Mittel (14).

24.

Auf dieser Grundlage möchte der EDSB hervorheben, dass die in den vorherigen Absätzen angeführten Erwägungen des EuGH unmittelbare Bedeutung für den gegenwärtigen Vorschlag haben. Obwohl auf Richtlinie 95/46/EG und Verordnung (EG) Nr. 45/2001 verwiesen wird, ist nicht sichergestellt, dass die beabsichtigte Veröffentlichung den Anforderungen entspricht, wie sie vom EuGH in der Rechtssache Schecke erläutert werden. Diesbezüglich sei hervorzuheben, dass der EuGH nicht nur die Verordnung der Kommission mit ihren detaillierten Vorschriften über die Veröffentlichung von Informationen über die Empfänger von Agrarmitteln für nichtig erklärte (15), sondern auch jene Bestimmung der Verordnung, die die Rechtsgrundlage für die Verordnung der Kommission bildet und das allgemeine Erfordernis zur Veröffentlichung der Informationen enthielt, soweit es sich bei den Empfängern um natürliche Personen handelt (16).

25.

Der EDSB hegt erhebliche Zweifel, ob der gegenwärtige Vorschlag den Kriterien entspricht, wie sie vom EuGH in der Rechtssache Schecke erläutert werden. Weder Artikel 31 noch die umgebenden Artikel enthalten einen eindeutigen definierten Zweck, dem die beabsichtigte Veröffentlichung von personenbezogenen Informationen dienen soll. Außerdem ist unklar, wann und in welcher Form die Informationen offengelegt werden. Es ist daher nicht möglich, abzuschätzen, ob ein gutes Gleichgewicht zwischen den verschiedenen inhärenten Interessen besteht, und zu prüfen, ob eine Veröffentlichung verhältnismäßig wäre, wie dies vom EuGH in der Rechtssache Schecke ausdrücklich unterstrichen wird. Darüber hinaus ist unklar, wie die Rechte der betroffenen Personen gewährleistet werden.

26.

Selbst wenn die Schaffung von Durchführungsbestimmungen erwogen wird —, was nicht eindeutig festgelegt ist —, sollten die eben erwähnten grundlegenden Klarstellungen in der Rechtsgrundlage für die Offenlegung solcher Daten, die die HO sein soll, enthalten sein.

27.

Der EDSB empfiehlt dem Gesetzgeber daher, den Zweck klarzustellen und die Notwendigkeit der beabsichtigten Offenlegung zu erläutern, anzugeben, wie und in welchem Umfang personenbezogene Daten veröffentlicht werden, sicherzustellen, dass Daten nur veröffentlicht werden, wenn dies verhältnismäßig ist, und zu gewährleisten, dass die betroffenen Personen ihre in den EU-Rechtsvorschriften zum Datenschutz enthaltenen Rechte geltend machen können.

II.5   Veröffentlichung von Beschlüssen oder Zusammenfassungen von Beschlüssen über verwaltungsrechtliche und finanzielle Sanktionen

28.

Artikel 103 des Vorschlags befasst sich mit der Möglichkeit, die der öffentliche Auftraggeber hat, um verwaltungsrechtliche oder finanzielle Sanktionen zu verhängen: a) gegen Auftragnehmer, Bewerber oder Bieter, falls sie im Zuge der Mitteilung der vom öffentlichen Auftraggeber für die Teilnahme am Vergabeverfahren verlangten Auskünfte falsche Erklärungen abgegeben haben oder die verlangten Auskünfte nicht erteilt haben (siehe Artikel 101 Buchstabe b) oder b) gegen Auftragnehmer, bei denen im Zusammenhang mit einem aus dem Haushalt der Union finanzierten Vertrag eine schwere Vertragsverletzung wegen Nichterfüllung ihrer Verpflichtungen festgestellt worden ist.

29.

Artikel 103 Absatz 1 hält fest, dass der betroffenen Person Gelegenheit zur Äußerung gegeben werden muss. Gemäß Artikel 103 Absatz 2 können die Sanktionen im Ausschluss der betroffenen Person für eine Höchstdauer von zehn Jahren von den Aufträgen und Finanzhilfen aus dem Haushalt und/oder aus finanziellen Sanktionen bis zur Höhe des betreffenden Auftragswertes bestehen.

30.

Im Vergleich zur gegenwärtigen Situation stellt das in Artikel 103 Absatz 3 erwähnte Recht der Organe, Beschlüsse oder Zusammenfassungen von Beschlüssen zu veröffentlichen, in denen der betreffende Wirtschaftsteilnehmer namentlich genannt ist, der Sachverhalt kurz dargestellt wird und die Ausschlhussdauer sowie der Betrag der finanziellen Sanktionen angegeben wird, ein neues Element in diesem Vorschlag dar.

31.

Soweit dies mit der Offenlegung von Informationen über natürliche Personen verbunden ist, wirft diese Bestimmung aus der Sicht des Datenschutzes einige Fragen auf. Erstens geht aus dem Gebrauch des Wortes „kann“ klar hervor, dass eine Veröffentlichung nicht obligatorisch ist. Dies lässt aber dort eine Reihe von Fragen offen, wo der Wortlaut des Vorschlags keine Klarheit bietet. Was zum Beispiel ist der Zweck einer solchen Offenlegung? Was sind die Kriterien, nach denen die betreffenden Organe über die Offenlegung entscheiden? Wie lange werden die Informationen öffentlich zugänglich sein und durch welches Medium? Wer wird überprüfen, ob die Angaben noch zutreffen, und wer wird sie auf dem neuesten Stand halten? Wer wird die betroffene Person über die Offenlegung informieren? All dies sind Fragen, die, wie sie in Artikel 6 der Richtlinie 95/46/EG und in Artikel 4 der Verordnung (EG) Nr. 45/2001 festgelegt sind, mit dem Erfordernis der Datenqualität in Zusammenhang stehen.

32.

Es sollte hervorgehoben werden, dass die Veröffentlichung solcher Informationen weitere negative Auswirkungen auf die betroffene Person hat. Die Veröffentlichung sollte nur dann zulässig sein, wenn dies für den beabsichtigten Zweck unbedingt erforderlich ist. Die Anmerkungen in Punkt II.4 im Zusammenhang mit dem Beschluss des EuGH in der Rechtssache Schecke sind hier gleichermaßen von Bedeutung.

33.

In seiner gegenwärtigen Fassung erfüllt der vorgeschlagene Wortlaut von Artikel 103 Absatz 3 nicht in vollem Umfang die Bestimmungen der Rechtsvorschriften zum Datenschutz. Der EDSB empfiehlt dem Gesetzgeber daher, den Zweck klarzustellen und die Notwendigkeit der beabsichtigten Offenlegung zu erläutern, anzugeben, wie und in welchem Umfang personenbezogene Daten offengelegt werden, sicherzustellen, dass Daten offengelegt werden, wenn dies verhältnismäßig ist, und zu gewährleisten, dass die von der Datenveröffentlichung betroffenen Personen ihre in den EU-Datenschutzvorschriften enthaltenen Rechte geltend machen können.

II.6   Die zentrale Ausschlussdatenbank

34.

Der Vorschlag beinhaltet auch die Errichtung einer zentralen Ausschlussdatenbank („die ZAD“), die Angaben über Bewerber und Bieter enthält, die von der Teilnahme an Ausschreibungen ausgeschlossen sind (siehe Artikel 102). Diese Datenbank ist auf der Grundlage der geltenden HO bereits eingerichtet und ihre Funktion wurde in der Verordnung (EG) Nr. 1302/2008 der Kommission weiter ausgearbeitet. Die Verarbeitungsvorgänge personenbezogener Daten, die im Rahmen der ZAD stattfinden, wurden vom EDSB in einer Stellungnahme vom 26. Mai 2010 zu einer Vorabkontrolle analysiert (17).

35.

Für die Daten in der ZAD gibt es zahlreiche Empfänger. Je nachdem, wer auf die Datenbank zugreift, ist Artikel 7, 8 oder 9 der Verordnung (EG) Nr. 45/2001 anwendbar.

36.

In der genannten Stellungnahme im Rahmen einer Vorabkontrolle gelangte der EDSB zu dem Schluss, dass die gegenwärtige Praxis betreffend die Umsetzung von Artikel 7 (Einsichtnahme in die Datenbank durch andere EU-Organe und -Einrichtungen) und Artikel 8 (Einsichtnahme in die ZAD durch Behörden und andere Einrichtungen von Mitgliedstaaten) im Einklang mit der Verordnung (EG) Nr. 45/2001 steht.

37.

Diese Schlussfolgerung konnte jedoch nicht im Zusammenhang mit der Datenübermittlung an Behörden von Drittländern gezogen werden, die in Artikel 9 der Verordnung (EG) Nr. 45/2001 geregelt ist, der sich mit der Datenübermittlung an Behörden von Drittländern und/oder an internationale Organisationen befasst. In Artikel 102 Absatz 2 des Vorschlags ist festgelegt, dass auch Drittländer Zugang zur ZAD haben.

38.

In Artikel 9 Absatz 1 der Verordnung (EG) Nr. 45/2001 heißt es: „Personenbezogene Daten werden an Empfänger, die nicht Organe oder Einrichtungen der Gemeinschaft sind und die nicht den aufgrund der Richtlinie 95/46/EG erlassenen nationalen Rechtsvorschriften unterliegen, nur übermittelt, wenn ein angemessenes Schutzniveau in dem Land des Empfängers oder innerhalb der empfangenden internationalen Organisation gewährleistet ist und diese Übermittlung ausschließlich die Wahrnehmung von Aufgaben ermöglichen soll, die in die Zuständigkeit des für die Verarbeitung Verantwortlichen fallen.“ Abweichend von Artikel 9 Absatz 1 gestattet Artikel 9 Absatz 6 die Datenübermittlung an Länder, die keine angemessenen Schutzmaßnahmen vorsehen, sofern „die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses […] erforderlich oder gesetzlich vorgeschrieben ist …“.

39.

In der genannten Stellungnahme zur Vorabkontrolle betonte der EDSB, dass weitere Schritte notwendig seien, um sicherzustellen, dass im Fall der Datenübermittlung an ein Drittland oder eine Drittorganisation der Empfänger ein angemessenes Schutzniveau bietet. Der EDSB möchte unterstreichen, dass eine solche Feststellung zur Angemessenheit auf einer Beurteilung von Fall zu Fall beruhen müsse und eine gründliche Analyse der Umstände des Datenübermittlungsvorgangs bzw. der Datenübermittlungsvorgänge einschließen sollte. Die HO kann die Kommission nicht von dieser Verpflichtung entbinden. Gleichermaßen sollte eine Übermittlung, die sich auf eine der in Artikel 9 vorgesehenen Ausnahmen stützt, auch auf einer Beurteilung von Fall zu Fall beruhen.

40.

In dieser Hinsicht empfiehlt der EDSB dem Gesetzgeber, Artikel 102 einen zusätzlichen Absatz hinzuzufügen, der sich eigens mit dem Schutz personenbezogener Daten befasst. Der Absatz könnte mit dem ersten Satz beginnen, der schon im ersten Absatz von Artikel 102 enthalten ist, nämlich, „Die Kommission errichtet und betreibt im Einklang mit den Vorschriften der Union für den Schutz personenbezogener Daten eine zentrale Datenbank“. Dem sollte hinzugefügt werden, dass den Behörden von Drittländern der Zugang nur erlaubt ist, wenn die in Artikel 9 der Verordnung (EG) Nr. 45/2001 festgelegten Bedingungen erfüllt sind.

III.   SCHLUSSFOLGERUNG

41.

Der vorliegende Vorschlag hat gewisse Datenschutzauswirkungen sowohl auf EU- als auch auf einzelstaatlicher Ebene, die in dieser Stellungnahme erörtert wurden. Hinweise auf die einschlägigen Datenschutzinstrumente sind in dem Vorschlag zu finden. Wie in dieser Stellungnahme erläutert, ist eine weitere Ausarbeitung und Klarstellung erforderlich, um sicherzustellen, dass der Vorschlag vollständig im Einklang mit den Rechtsrahmen zum Datenschutz steht. Der EDSB empfiehlt:

in die Präambel der Verordnung einen Verweis auf Richtlinie 95/46/EG und Verordnung (EG) Nr. 45/2001 aufzunehmen;

in Artikel 57 Absatz 2 Buchstabe f einen Verweis auf Richtlinie 95/46/EG und Verordnung (EG) Nr. 45/2001 aufzunehmen, wie es bereits in Artikel 31 Absatz 3 des Vorschlags geschehen ist;

in Artikel 56 Absatz 4 Buchstabe f (der in der logischen Reihenfolge der Unterabsätze Absatz 4 Buchstabe e sein sollte) den Verweis auf Richtlinie 95/46/EG zu verstärken, indem dieser in „sicherstellen, dass jegliche Verarbeitung personenbezogener Daten im Einklang mit den einzelstaatlichen Vorschriften zur Umsetzung der Richtlinie 95/46/EG steht“ geändert wird;

in Artikel 57 Absatz 2 Buchstabe f den Satzteil „einen angemessenen Schutz personenbezogener Daten sicherzustellen“ durch „sicherzustellen, dass jegliche Verarbeitung personenbezogener Daten im Einklang mit den einzelstaatlichen Vorschriften zur Umsetzung der Richtlinie 95/46/EG steht“ zu ersetzen;

in Artikel 63 Absatz 8 sicherzustellen, dass die Identität von Informanten während der Untersuchungen vertraulich gehalten wird, soweit dies nicht gegen einzelstaatliche verfahrensrechtliche Bestimmungen verstößt und soweit die eines Fehlverhaltens beschuldigte Person dazu nicht berechtigt ist, weil die Identität des Informanten für die Einleitung von Gerichtserfahren gegen den Informanten erforderlich ist, nachdem festgestellt wurde, dass der Informant vorsätzlich Falschaussagen über sie gemacht hat.

in Artikel 31 den Zweck klarzustellen und die Notwendigkeit der beabsichtigten Offenlegung zu erläutern, anzugeben, wie und in welchem Umfang personenbezogene Daten veröffentlicht werden, sicherzustellen, dass Daten nur veröffentlicht werden, wenn dies verhältnismäßig ist, und zu gewährleisten, dass die betroffenen Personen ihre in den EU-Rechtsvorschriften zum Datenschutz enthaltenen Rechte geltend machen kann;

Artikel 103 Absatz 3, der sich mit der Veröffentlichung von Beschlüssen oder Zusammenfassungen von Beschlüssen über verwaltungsrechtliche und finanzielle Sanktionen befasst, zu verbessern, d. h. den Zweck klarzustellen und die Notwendigkeit der beabsichtigten Offenlegung zu erläutern, anzugeben, wie und in welchem Umfang personenbezogene Daten offengelegt werden, sicherzustellen, dass Daten offengelegt werden, wenn dies verhältnismäßig ist, und zu gewährleisten, dass die von der Datenveröffentlichung betroffenen Personen ihre in den EU-Datenschutzvorschriften enthaltenen Rechte geltend machen können;

in Artikel 102 einen zusätzlichen Absatz hinzuzufügen, der sich mit dem Schutz personenbezogener Daten befasst, und in dem festgehalten wird, dass den Behörden von Drittländern nach einer Beurteilung von Fall zu Fall der Zugang nur erlaubt ist, wenn die in Artikel 9 der Verordnung (EG) Nr. 45/2001 festgelegten Bedingungen erfüllt sind.

Brüssel, den 15. April 2011

Giovanni BUTTARELLI

Stellvertretender Europäischer Datenschutzbeauftragter


(1)  ABl. L 281 vom 23.11.1995, S. 31.

(2)  ABl. L 8 vom 12.1.2001, S. 1.

(3)  ABl. L 248 vom 16.9.2002, S. 1.

(4)  Vgl. KOM(2010) 260 endg. und KOM(2010) 71 endg.

(5)  Siehe Artikel 31 Absatz 3 und Artikel 56 Absatz 4 des Vorschlags. Außerdem gibt es einen generellen Verweis auf „Anforderungen an den Datenschutz“ in Erwägungsgrund 36, auf den „Schutz personenbezogener Daten“ in Artikel 57 Absatz 2 Buchstabe f und auf die „Vorschriften der Union für den Schutz personenbezogener Daten“ in Artikel 102 Absatz 1.

(6)  Wie wichtig es ist, die Vertraulichkeit der Identität von Informanten zu wahren, wurde schon vom EDSB in einem Schreiben an den Europäischen Bürgerbeauftragten vom 30. Juli 2010 im Fall 2010-0458 unterstrichen, das auf der EDSB-Website (http;//www.edps.europa.eu) zu finden ist. Auch die Artikel-29-Arbeitsgruppe unterstrich dies in ihrer Stellungnahme 1/2006 vom 1. Februar 2006 zur Anwendung der EU-Datenschutzvorschriften auf interne Informantenverfahren in den Bereichen Rechnungsführung, interne Rechnungsführungskontrollen, Fragen der Wirtschaftsprüfung, Bekämpfung von Korruption, Banken- und Finanzkriminalität; zu finden auf der Website der Artikel-29-Arbeitsgruppe: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm).

(7)  Siehe auch Stellungnahmen des EDSB zu Vorabkontrollen vom 23. Juni 2006 betreffend interne Unersuchungen durch OLAF (Fall 2005-0418) und vom 4. Oktober 2007 betreffend externe Untersuchungen durch OLAF (Fälle 2007-47, 2007-48, 2007-49, 2007-50, 2007-72); zu finden auf der Website des EDSB (http://www.edps.europa.eu).

(8)  Siehe diesbezüglich auch die oben genannte Stellungnahme 1/2006 der Artikel-29-Arbeitsgruppe.

(9)  EuGH 9. November 2010, Schecke und Eifert, verbundene Rechtssachen C-92/09 und C-93/09.

(10)  EuGH, Schecke, Absatz 85.

(11)  EuGH, Schecke, Absatz 86.

(12)  EuGH, Schecke, Absatz 81.

(13)  Vgl. Fußnote 12.

(14)  EuGH, Schecke, Absätze 68, 69, 75 und 76.

(15)  Verordnung (EG) Nr. 259/2008 der Kommission, ABl. L 76 vom 19.3.2008, S. 28.

(16)  Artikel 44a der Verordnung (EG) Nr. 1290/2005, ABl. L 209 vom 11.8.2005, S. 1, in der geänderten Fassung.

(17)  Siehe die Stellungnahme des EDSB zur Vorabkontrolle vom 26. Mai 2010 in Bezug auf die Verarbeitung personenbezogener Daten im Zusammenhang mit der „Registrierung einer von der Verarbeitung betroffenen Person in der zentralen Ausschlussdatenbank“ (Fall 2009-0681); zu finden auf der EDSB-Website (http://www.edps.europa.eu).