6.6.2009   

DE

Amtsblatt der Europäischen Union

C 128/1

1.

Der Vorsitz des Rates der Europäischen Union hat dem Ausschuss der Ständigen Vertreter am 28. Mai 2008 im Hinblick auf das Gipfeltreffen am 12. Juni 2008 mitgeteilt, dass die hochrangige Kontaktgruppe EU-USA für den Informationsaustausch und den Schutz der Privatsphäre und der personenbezogenen Daten ihren Bericht fertiggestellt hat. Dieser Bericht wurde am 26. Juni 2008 veröffentlicht (1).

2.

Der Bericht zielt darauf ab, in einem ersten Schritt auf dem Weg zu einem Informationsaustausch mit den Vereinigten Staaten zur Bekämpfung von Terrorismus und schwerer grenzüberschreitender Kriminalität gemeinsame Grundsätze für den Schutz der Privatsphäre und den Datenschutz festzuhalten.

3.

In der Mitteilung über das Vorliegen des Berichts erklärte der Ratsvorsitz, dass er Überlegungen zu der Frage begrüßen würde, welche Maßnahmen im Anschluss an diesen Bericht zu treffen wären; insbesondere bat er um Reaktionen auf die in dem Bericht ausgesprochenen Empfehlungen zum weiteren Vorgehen. Der Europäische Datenschutzbeauftragte (EDSB) ist dieser Aufforderung nachgekommen. Seine Stellungnahme basiert auf dem derzeitigen Stand der Beratungen, wie er aus dem veröffentlichten Bericht hervorgeht, und präjudiziert in keiner Weise Standpunkte, die er angesichts der weiteren Entwicklungen in Zukunft in dieser Frage möglicherweise vertreten wird.

4.

Der EDSB stellt fest, dass die Beratungen der hochrangigen Kontaktgruppe in einem Kontext stattgefunden haben, in dem insbesondere seit dem 11. September 2001 der Datenaustausch zwischen den Vereinigten Staaten und der Europäischen Union durch internationale Abkommen und Übereinkünfte anderer Art weiterentwickelt wurde. Hierzu zählen die Abkommen von Europol und Eurojust mit den Vereinigten Staaten, die Abkommen zu den Fluggastdatensätzen (PNR-Abkommen) und der Fall SWIFT, der zu einem Briefwechsel zwischen EU- und US-Beamten führte, dessen Ziel die Festlegung von Mindestgarantien für den Datenschutz war (2).

5.

Darüber hinaus handelt die EU vergleichbare Übereinkünfte über den Austausch personenbezogener Daten mit anderen Drittländern aus und billigt diese. Ein jüngeres Beispiel hierfür ist das Abkommen zwischen der Europäischen Union und Australien über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records — PNR) aus der Europäischen Union und deren Übermittlung durch die Fluggesellschaften an die australische Zollbehörde (3).

6.

In diesem Zusammenhang ist festzustellen, dass die Ersuchen der Strafverfolgungsbehörden von Drittländern um personenbezogene Informationen stetig zunehmen und nicht mehr nur Informationen betreffen, die in den üblichen Behörden-Datenbanken gespeichert sind, sondern auch andere Arten von Dateien, insbesondere solche, die von der Privatwirtschaft erhobene Daten enthalten.

7.

Der EDSB weist als wichtige Hintergrundinformation darauf hin, dass die Frage der Übermittlung personenbezogener Daten an Drittländer im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen in dem Rahmenbeschluss des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden (4), geregelt wird; dieser dürfte noch vor Ablauf des Jahres 2008 angenommen werden.

8.

Es ist jedenfalls zu erwarten, dass der transatlantische Informationsaustausch ausgeweitet wird und dass weitere Bereiche, in denen personenbezogene Daten verarbeitet werden, in ihn einbezogen werden. In diesem Umfeld ist ein Dialog über „transatlantische Strafverfolgung“ ebenso begrüßenswert wie heikel. Begrüßenswert, weil dadurch ein besser abgegrenzter Rahmen für den bereits erfolgenden oder künftigen Datenaustausch geschaffen werden könnte. Aber auch heikel, weil durch einen solchen Rahmen eine massive Übermittlung von Daten in einem Bereich — nämlich bei der Strafverfolgung — sanktioniert werden könnte, in dem die Auswirkungen auf den Einzelnen besonders schwerwiegend sind und in dem verlässliche Schutzbestimmungen und Garantien umso mehr erforderlich sind (5).

9.

Im folgenden Kapitel dieser Stellungnahme wird auf den gegenwärtigen Stand der Beratungen und das mögliche weitere Vorgehen eingegangen. Kapitel III hat den Anwendungsbereich und die Art der Übereinkunft, die eine gemeinsame Nutzung von Informationen ermöglichen soll, zum Gegenstand. In Kapitel IV werden Rechtsfragen, die mit dem Inhalt eines etwaigen Abkommens in Zusammenhang stehen, unter allgemeinen Gesichtspunkten analysiert. Zum einen wird darin der Frage nachgegangen, welche Bedingungen für die Bewertung des in den Vereinigten Staaten gewährleisteten Schutzniveaus gelten, zum anderen wird die Frage erörtert, ob der Rechtsrahmen der EU als Maßstab für die Bewertung dieses Schutzniveaus herangezogen werden kann. Ferner werden in diesem Kapitel auch die grundlegenden Anforderungen aufgeführt, die an ein Abkommen in diesem Bereich zu stellen wären. In Kapitel V der Stellungnahme werden schließlich die in der Anlage zu dem Bericht dargelegten Grundsätze zum Datenschutz analysiert.

10.

Nach Auffassung des EDSB ist der gegenwärtige Stand der Beratungen so einzuschätzen, dass gewisse Fortschritte bei der Festlegung gemeinsamer Standards für die gemeinsame Nutzung von Informationen und den Schutz der Privatsphäre und der personenbezogenen Daten erzielt wurden.

11.

Die Vorbereitungsarbeit für ein wie auch immer gestaltetes Abkommen zwischen der EU und den Vereinigten Staaten ist jedoch noch nicht abgeschlossen. Hier sind noch weitere Beratungen notwendig. In dem Bericht der hochrangigen Kontaktgruppe werden einige noch offene Punkte aufgeführt, von denen der wichtigste die Frage des „Grundsatzes des Rechtsbehelfs“ ist. Uneinigkeit besteht nach wie vor über den erforderlichen Umfang des Rechtsbehelfs (6). In Kapitel 3 des Berichts werden fünf weitere noch offene Punkte aufgeführt. Diese Stellungnahme wird verdeutlichen, dass über diese Punkte hinaus noch zahlreiche weitere Fragen nicht geklärt sind, so beispielsweise der Anwendungsbereich und die Art der Übereinkunft über die gemeinsame Nutzung von Informationen.

12.

Da in dem Bericht der Option eines verbindlichen Abkommens der Vorzug gegeben wird — eine Auffassung, die der EDSB teilt — ist umso mehr ein überlegtes Vorgehen erforderlich. Weitere sorgfältige und gründliche vorbereitende Arbeit ist unerlässlich, bevor ein Abkommen geschlossen werden kann.

13.

Schließlich sei noch angemerkt, dass es nach Auffassung des EDSB am besten wäre, wenn ein solches Abkommen nach dem Lissabonner Vertrag geschlossen würde, was natürlich davon abhängt, wann dieser in Kraft treten wird. Nach dem Lissabonner Vertrag würde nämlich keine Rechtsunsicherheit in Bezug auf die Abgrenzung zwischen den Säulen der EU entstehen. Darüber hinaus wären die uneingeschränkte Einbeziehung des Europäischen Parlaments und eine gerichtliche Kontrolle durch den Gerichtshof gewährleistet.

14.

Unter diesen Umständen sollte am besten zunächst ein Fahrplan im Hinblick auf den etwaigen späteren Abschluss eines Abkommens vereinbart werden. Dieser Fahrplan könnte folgende Aspekte umfassen:

15.

Nach Auffassung des EDSB ist es von entscheidender Bedeutung, dass der Anwendungsbereich und die Art einer etwaigen Übereinkunft sowie die Grundsätze für den Datenschutz in einem ersten Schritt vor der weiteren Ausgestaltung einer solchen Übereinkunft eindeutig festgelegt werden.

16.

Bezüglich des Anwendungsbereichs stellen sich folgende wichtige Fragen:

17.

Bei der Festlegung der Art der Übereinkunft sollten folgende Fragen geklärt werden:

18.

Der Bericht der hochrangigen Kontaktgruppe enthält zwar keine eindeutigen Festlegungen zu dem exakten Anwendungsbereich der künftigen Übereinkunft, die darin aufgeführten Grundsätze lassen jedoch den Schluss zu, dass sowohl die Datenübermittlung zwischen privatwirtschaftlichen und öffentlichen (7) Akteuren als auch die Datenübermittlung zwischen Behörden unter die Übereinkunft fallen sollen.

19.

Der EDSB kann nachvollziehen, warum die künftige Übereinkunft auf die Datenübermittlung zwischen privatwirtschaftlichen und öffentlichen Akteuren anwendbar sein soll. Die Übereinkunft wird ausgearbeitet, weil in den letzten Jahren Ersuchen von US-Seite um Informationen von privatwirtschaftlichen Akteuren vorlagen. Der EDSB stellt in der Tat fest, dass privatwirtschaftliche Akteure sowohl auf EU-Ebene als auch auf internationaler Ebene vermehrt systematisch als Informationsquelle im Zusammenhang mit Strafverfolgungszwecken genutzt werden (8). Der Fall SWIFT war ein wichtiger Präzedenzfall, in dem ein privatwirtschaftliches Unternehmen aufgefordert war, systematisch große Mengen an Datensätzen an die Strafverfolgungsbehörden eines Drittlandes zu übermitteln (9). Das Abfragen von Fluggastdaten der Fluglinien folgt derselben Logik. Der EDSB hat die Rechtmäßigkeit dieser Entwicklung bereits in seiner Stellungnahme zu dem Entwurf eines Rahmenbeschlusses für ein europäisches System zur Verarbeitung von PNR-Daten in Frage gestellt (10).

20.

Es sprechen noch zwei weitere Gründe dafür, der Aufnahme der Übermittlung von Daten zwischen privatwirtschaftlichen und öffentlichen Akteuren in den Anwendungsbereich eines künftigen Übereinkommens skeptisch gegenüberzustehen.

21.

Zum einen könnte dies im Gebiet der EU selbst unerwünschte Wirkungen entfalten. Der EDSB befürchtet ernstlich, dass die Möglichkeit, Daten von privatwirtschaftlichen Unternehmen (z. B. von Finanzinstituten) an Drittländer zu übermitteln, starken Druck dahingehend erzeugen kann, dass dieselben Arten von Daten auch innerhalb der EU den Strafverfolgungsbehörden zur Verfügung zu stellen wären. Das PNR-System ist ein Beispiel für eine solche nicht wünschenswerte Entwicklung, die mit einer Sammelerhebung von Fluggastdaten durch die Vereinigten Staaten begann und dann auch auf den innereuropäischen Kontext übertragen wurde (11), ohne dass die Notwendigkeit und die Verhältnismäßigkeit eines solchen Systems eindeutig nachgewiesen worden wären.

22.

Zum anderen hat der EDSB in seiner Stellungnahme zu dem Kommissionsvorschlag bezüglich eines PNR-Systems für die EU auch die Frage aufgeworfen, welcher Datenschutzrahmen (erste oder dritte Säule) auf die Bestimmungen anzuwenden wäre, denen eine Zusammenarbeit zwischen öffentlichen und privatwirtschaftlichen Akteuren unterliegen würde: Sollten die Vorschriften auf der Eigenschaft des für die Datenverarbeitung Verantwortlichen (Privatsektor) oder auf dem verfolgten Zweck (Strafverfolgung) beruhen? Zwischen der ersten und der dritten Säule gibt es in Fällen, in denen privatwirtschaftliche Akteure verpflichtet werden, personenbezogene Daten zu Strafverfolgungszwecken zu verarbeiten, keine eindeutige Abgrenzung. In diesem Zusammenhang ist es bezeichnend, dass Generalanwalt Bot in seinem Schlussantrag in einer Rechtssache zum Thema „Vorratsdatenspeicherung von Daten“ (12) eine Grenzziehung für solche Fälle vorschlägt, aber gleich hinzufügt: „Diese Grenzziehung ist sicherlich nicht unumstritten und kann in mancher Hinsicht künstlich erscheinen.“ Der EDSB stellt zudem fest, dass auch in dem Beschluss des Gerichtshofs in der Rechtssache betreffend die Verarbeitung von Fluggastdatensätzen (13) die Frage nach dem geltenden Rechtsrahmen nicht vollständig beantwortet wird. Die Tatsache, dass bestimmte Aktivitäten nicht unter die Richtlinie 95/46/EG fallen, bedeutet beispielsweise nicht automatisch, dass diese Aktivitäten im Rahmen der dritten Säule geregelt werden können. Dies bedeutet, dass hier möglicherweise hinsichtlich des geltenden Rechts eine Lücke besteht, was in jedem Fall zu Rechtsunsicherheit hinsichtlich der für die Betroffenen bestehenden Rechtsgarantien führt.

23.

Der EDSB hebt vor diesem Hintergrund hervor, dass sichergestellt sein muss, dass durch eine künftige — allgemeine Grundsätze für den Datenschutz enthaltende — Übereinkunft als solche die transatlantische Übermittlung personenbezogener Daten zwischen privatwirtschaftlichen und öffentlichen Akteuren nicht legitimiert werden darf. Eine solche Datenübermittlung kann nur dann in eine künftige Übereinkunft aufgenommen werden, wenn

Darüber hinaus weist der EDSB auf die bestehende Unsicherheit hinsichtlich des anwendbaren Datenschutzrahmens hin und spricht sich deshalb in jedem Fall dafür aus, die Übermittlung personenbezogener Daten zwischen privatwirtschaftlichen und öffentlichen Akteuren bei dem gegenwärtigen Stand der Rechtsvorschriften der EU nicht in die künftige Übereinkunft aufzunehmen.

24.

Der Anwendungsbereich im Hinblick auf den Informationsaustausch ist nicht eindeutig abgegrenzt. In einem ersten Schritt in Richtung auf eine gemeinsame Übereinkunft sollte deren genauer Anwendungsbereich eindeutig festgelegt werden. Insbesondere folgende Fragen sind nach wie vor offen:

25.

Die Definition des Zwecks eines etwaigen Abkommens lässt ebenfalls Raum für Unsicherheit. In der Einleitung und auch in dem ersten Grundsatz, der in der Anlage zum Bericht dargelegt ist, wird klar auf Strafverfolgungszwecke abgestellt; in Kapitel IV dieser Stellungnahme wird näher hierauf eingegangen. Der EDSB stellt fest, dass die genannten Textstellen darauf hindeuten, dass der Datenaustausch schwerpunktmäßig im Bereich der dritten Säule erfolgen soll; es stellt sich jedoch die Frage, ob es sich hierbei nicht lediglich um einen ersten Schritt in Richtung auf einen umfassenderen Informationsaustausch handelt. Es scheint eindeutig, dass die im Bericht genannten „Zwecke der öffentlichen Sicherheit“ die Bekämpfung des Terrorismus, der organisierten Kriminalität und sonstiger Verbrechen einschließen. Soll das Abkommen aber darüber hinaus auch für den Datenaustausch in anderen Bereichen des öffentlichen Interesses gelten, wie etwa die Gefährdung der öffentlichen Gesundheit?

26.

Der EDSB empfiehlt, den Zweck auf genau festgelegte Datenverarbeitungsvorgänge zu beschränken und die politischen Entscheidungen, die der Zweck-Definition zugrunde liegen, zu begründen.

27.

Der gemäß dem Bericht vorgesehene breite Anwendungsbereich sollte vor dem Hintergrund des umfassenden transatlantischen Raums der Sicherheit, über den zur Zeit von der sogenannten Zukunftsgruppe (14) debattiert wird, betrachtet werden. Der im Juni 2008 veröffentlichte Bericht dieser Gruppe legt unter anderem einen Schwerpunkt auf die externe Dimension der Innenpolitik. Darin wird Folgendes empfohlen: „Bis 2014 sollte die Europäische Union eine Entscheidung hinsichtlich des politischen Ziels treffen, im Bereich der Freiheit, der Sicherheit und des Rechts einen euro-atlantischen Raum der Zusammenarbeit mit den Vereinigten Staaten zu schaffen.“ Eine solche Zusammenarbeit würde über Sicherheitsfragen im eigentlichen Sinne hinausgehen und mindestens die Themen umfassen, die in Titel IV EGV behandelt werden, wie Einwanderung, Visa- und Asylfragen und zivilrechtliche Zusammenarbeit. Hier muss die Frage gestellt werden, inwieweit eine Vereinbarung über grundlegende Datenschutz-Grundsätze, wie sie im Bericht der hochrangigen Kontaktgruppe aufgeführt sind, die Grundlage für einen Informationsaustausch in so einem so weit gefassten Bereich sein könnte oder sollte.

28.

Normalerweise sollte im Jahr 2014 die Säulen-Struktur nicht mehr bestehen, und es dürfte eine einzige Rechtsgrundlage für den Datenschutz innerhalb der EU selbst geben (im Rahmen des Lissabonner Vertrags — Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union). Der Umstand, dass es eine Harmonisierung auf EU-Ebene hinsichtlich der Regelung des Datenschutzes gibt, bedeutet jedoch in keiner Weise, dass im Rahmen eines Abkommens mit einem Drittland die Übermittlung jedweder personenbezogener Daten, zu welchen Zwecken auch immer, zulässig wäre. Je nach Kontext und den Bedingungen, unter denen die Datenverarbeitung erfolgt, sind möglicherweise entsprechend angepasste Datenschutzgarantien für bestimmte Bereiche, wie beispielsweise den Bereich der Strafverfolgung, erforderlich. Der EDSB empfiehlt, bei der Ausarbeitung des künftigen Abkommens die Auswirkungen dieser verschiedenen Zusammenhänge zu berücksichtigen.

29.

Auf kurze Sicht ist es in jedem Fall unbedingt erforderlich, die Säule festzulegen, in deren Rahmen das Abkommen ausgehandelt werden soll. Dies ist insbesondere deswegen notwendig, weil sich ein solches Abkommen auf den internen Rechtsrahmen für den Datenschutz auswirken dürfte. Sollen die Verhandlungen im Rahmen der ersten Säule geführt werden, in der im wesentlichen die Richtlinie 95/46/EG gilt, die eine spezielle Regelung für die Übermittlung von Daten an Drittländer enthält, oder sollen die Verhandlungen im Rahmen der dritten Säule erfolgen, in der die Regeln für die Datenübermittlung an Drittländer weniger streng sind? (15)

30.

Zwar stehen, wie bereits erwähnt, Strafverfolgungszwecke im Vordergrund, in dem Bericht der hochrangigen Kontaktgruppe wird jedoch auch das Abfragen von Daten von privatwirtschaftlichen Akteuren genannt; ferner können die aufgeführten Zwecke auch in einem weiten Sinne dahingehend interpretiert werden, dass sie über reine Sicherheitsaspekte hinausgehen und beispielsweise Einwanderungs- und Grenzschutzfragen, aber auch das Gesundheitswesen einschließen können. Angesichts dieser Unwägbarkeiten wäre es von großem Vorteil, wenn die Harmonisierung der Säulen im EU-Recht, wie sie im Lissabonner Vertrag vorgesehen ist, abgewartet, die Rechtsgrundlage für die Verhandlungen eindeutig festgelegt und darüber hinaus genau festgelegt würde, welche Rolle den europäischen Organen, insbesondere dem Europäischen Parlament und der Kommission, zukommt.

31.

Es sollte klargestellt werden, ob am Ende der Beratungen eine gemeinsame Vereinbarung oder eine andere nicht verbindliche Übereinkunft stehen soll, oder ob ein verbindliches internationales Abkommen geschlossen werden soll.

32.

Der EDSB schließt sich dem Bericht an, in dem ein verbindliches Abkommen favorisiert wird. Nach Auffassung des EDSB ist ein offizielles verbindliches Abkommen eine unabdingbare Voraussetzung für eine Übermittlung von Daten aus der EU nach außen, unabhängig von dem Zweck, zu dem die Datenübermittlung erfolgt. Daten dürfen nur dann in ein Drittland übermittelt werden, wenn angemessene Regelungen getroffen und Schutzvorschriften festgelegt wurden, die Bestandteil eines speziellen (und verbindlichen) rechtlichen Rahmens sind. Mit anderen Worten: eine gemeinsame Absichtserklärung oder eine andere nicht verbindliche Übereinkunft können nützlich sein, um Leitlinien für die Verhandlungen im Hinblick auf ein weiteres verbindliches Abkommen zu bieten, vermögen jedoch niemals ein verbindliches Abkommen ersetzen.

33.

Die Bestimmungen der Übereinkunft sollten gleichermaßen verbindlich für die Vereinigten Staaten und für die Europäische Union und ihre Mitgliedstaaten sein.

34.

Darüber hinaus sollte sichergestellt werden, dass Einzelpersonen auf der Grundlage der vereinbarten Grundsätze ihre Rechte, und insbesondere das Recht auf Rechtsbehelf, wahrnehmen können. Der EDSB ist der Auffassung, dass dies am besten erreicht werden kann, wenn die materiellrechtlichen Bestimmungen der Übereinkunft so formuliert werden, dass sie unmittelbar für die Einwohner der Europäischen Union wirksam sind und vor Gericht geltend gemacht werden können. Deshalb müssen in der Übereinkunft die unmittelbare Wirksamkeit der Bestimmungen des internationalen Abkommens sowie die Bedingungen, die bei dessen Umsetzung in internes europäisches und nationales Recht erfüllt sein müssen, um die Wirksamkeit der Maßnahmen zu gewährleisten, eindeutig geregelt sein.

35.

Eine weitere grundlegende Frage ist, inwieweit das Abkommen eigenständig ist und inwieweit es auf Einzelfallbasis durch weitere Vereinbarungen zu spezifischen Datenaustauschfragen ergänzt werden muss. Es ist in der Tat fraglich, ob die mannigfaltigen Eigenheiten, die die Datenverarbeitung in der dritten Säule aufweist, durch ein einziges Abkommen in angemessener Weise mit einer einzigen Reihe von Normen abgedeckt werden können. Es ist noch fraglich, ob dieses einzige Abkommen ohne ergänzende Beratungen und Schutzbestimmungen die pauschale Billigung der Übermittlung personenbezogener Daten unabhängig vom Zweck der Übermittlung und der Art der übermittelten Daten überhaupt zulassen darf. Außerdem haben Abkommen mit Drittländern nicht unbedingt unbegrenzt Bestand, da sie an eine bestimmte Bedrohungslage gekoppelt sein, der Überprüfung unterliegen oder eine Auflösungsklausel beinhalten können. Andererseits könnten durch gemeinsame Mindeststandards, wie sie in einer verbindlichen Übereinkunft anerkannt würden, die weiteren Beratungen über die Übermittlung personenbezogener Daten im Zusammenhang mit einer spezifischen Datenbank oder mit spezifischen Datenverarbeitungsvorgängen erleichtert werden.

36.

Der EDSB würde deshalb, wie es auch in dem Bericht der hochrangigen Kontaktgruppe dargelegt wurde, die Ausarbeitung von Mindestkriterien für den Datenschutz, die von Fall zu Fall durch ergänzende spezifische Bestimmungen vervollständigt werden, einem eigenständigen Abkommen vorziehen. Die ergänzenden spezifischen Bestimmungen sind die Voraussetzung für die Zulassung der Datenübermittlung in jedem Einzelfall. Hierdurch würde ein einheitliches Vorgehen beim Datenschutz gefördert.

37.

Es sollte überdies geprüft werden, wie ein etwaiges allgemeines Abkommen mit bereits bestehenden, zwischen der Europäischen Union und den Vereinigten Staaten geschlossenen Abkommen zusammenwirken würde. Hierbei sei darauf hingewiesen, dass diese bereits bestehenden Abkommen, unter denen besonders das PNR-Abkommen (dasjenige, das mehr Rechtssicherheit bietet), das Europol- und das Eurojust-Abkommen beziehungsweise der Briefwechsel in Sachen SWIFT hervorzuheben sind, nicht dasselbe Maß an Verbindlichkeit aufweisen (16). Würden diese bestehenden Übereinkünfte durch eine neue allgemeine Rahmenvereinbarung ergänzt, oder würden sie unverändert bestehen bleiben, da die neue Rahmenvereinbarung beim Austausch personenbezogener Daten lediglich auf künftige Vorgänge anzuwenden wäre? Nach Auffassung des EDSB wäre es aus Gründen der rechtlichen Kohärenz erforderlich, über harmonisierte Vorschriften zu verfügen, die sowohl auf geltende als auch auf künftige verbindliche Abkommen zur Datenübermittlung anwendbar wären und diese ergänzen würden.

38.

Die Anwendung des allgemeinen Abkommens auf bestehende Übereinkünfte hätte den Vorteil, dass die Verbindlichkeit dieser Übereinkünfte gestärkt würde. Dies wäre insbesondere für solche Übereinkünfte wünschenswert, die nicht rechtlich verbindlich sind, wie beispielsweise der Briefwechsel im Fall SWIFT, da hierdurch wenigstens die Einhaltung einer Reihe allgemeiner Grundsätze für den Datenschutz vorgeschrieben würde.

39.

In diesem Kapitel wird der Frage nachgegangen, wie das durch eine bestimmte Rahmenvereinbarung oder Übereinkunft erreichte Schutzniveau zu bewerten ist; hierzu gehört auch die Frage nach den anzuwendenden Maßstäben und den notwendigen grundlegenden Anforderungen.

40.

Nach Auffassung des EDSB dürfte klar sein, dass eines der wesentlichen Ergebnisse einer künftigen Übereinkunft darin bestehen sollte, dass die Übermittlung personenbezogener Daten an die Vereinigten Staaten nur dann erfolgen kann, wenn die US-Behörden ein angemessenes Schutzniveau gewährleisten (und umgekehrt).

41.

Der EDSB ist der Meinung, dass hinreichende Garantien in Bezug auf das Schutzniveau für personenbezogene Daten lediglich durch eine Überprüfung der tatsächlichen Angemessenheit sichergestellt werden können. Seiner Auffassung nach wäre es für ein allgemeines Rahmenabkommen, dessen Anwendungsbereich so weit gefasst wäre wie in dem Bericht der hochrangigen Kontaktgruppe beschrieben, problematisch, einer solchen Überprüfung der tatsächlichen Angemessenheit standzuhalten. Die Angemessenheit des allgemeinen Abkommens kann nur dann anerkannt werden, wenn sie mit der Angemessenheit der spezifischen von Fall zu Fall getroffenen Vereinbarungen einhergeht.

42.

Die Beurteilung des von Drittländern gewährleisteten Datenschutzniveaus ist keine ungewöhnliche Aufgabe, insbesondere nicht für die Europäische Kommission: in der ersten Säule ist die Angemessenheit des Schutzniveaus Voraussetzung für eine Datenübermittlung. Die Angemessenheit wurde verschiedentlich nach Artikel 25 der Richtlinie 95/46/EG unter Anwendung spezifischer Kriterien beurteilt und durch Entscheidungen der Europäischen Kommission bestätigt (17). In der dritten Säule sind derartige systematische Angemessenheitsüberprüfungen nicht ausdrücklich vorgesehen, eine Beurteilung der Angemessenheit des Schutzniveaus ist nur für die spezifischen Fälle nach Artikel 11 und 13 des noch nicht verabschiedeten Rahmenbeschlusses über den Schutz personenbezogener Daten (18) vorgeschrieben und bleibt den Mitgliedstaaten überlassen.

43.

Im gegenwärtigen Fall betrifft der Anwendungsbereich Strafverfolgungszwecke; die Beratungen werden von der Kommission unter der Aufsicht des Rates geführt. Der Kontext ist ein anderer als bei der Beurteilung der Safe Harbour Grundsätze oder der Angemessenheit der kanadischen Rechtsvorschriften; er ist eher vergleichbar mit den jüngsten Verhandlungen über die Verarbeitung von Fluggastdaten mit den Vereinigten Staaten und Australien, die im rechtlichen Rahmen der dritten Säule geführt wurden. Die von der hochrangigen Kontaktgruppe aufgestellten Grundsätze wurden allerdings auch im Zusammenhang mit dem Programm für visumfreies Reisen genannt, das Grenzschutz- und Einwanderungsfragen und somit der ersten Säule zugeordnete Aspekte betrifft.

44.

Der EDSB empfiehlt, dass bei der Beurteilung der Angemessenheit des durch die künftige Übereinkunft gewährleisteten Schutzniveaus die in diesen unterschiedlichen Bereichen gewonnenen Erfahrungen berücksichtigt werden sollten. Er empfiehlt außerdem, den Begriff der „Angemessenheit“ im Kontext einer künftigen Übereinkunft weiter zu entwickeln und hierbei Kriterien zugrunde zu legen, die den bei früheren Beurteilungen der Angemessenheit angewandten vergleichbar sind.

45.

Ein zweiter Aspekt des Schutzniveaus steht mit der gegenseitigen Anerkennung der Systeme der EU und der Vereinigten Staaten im Zusammenhang. In dem Bericht der hochrangigen Kontaktgruppe heißt es hierzu, dass das Ziel darin bestünde, in den Bereichen, für die diese Grundsätze gelten, die Anerkennung der Wirksamkeit der Regelungen beider Seiten für Datenschutz und Schutz der Privatsphäre zu erreichen (19) und eine gleichwertige und gegenseitige Anwendung der Rechtsvorschriften zum Schutz personenbezogener Daten und zum Schutz der Privatsphäre zu erreichen.

46.

Für den EDSB liegt es auf der Hand, dass die gegenseitige Anerkennung (oder Gegenseitigkeit) nur möglich ist, wenn ein angemessenes Schutzniveau gewährleistet wird. Mit anderen Worten, die künftige Übereinkunft sollte das Mindestschutzniveau harmonisieren (durch eine Beurteilung der Angemessenheit des Schutzniveaus, wobei zu berücksichtigen ist, dass auf Einzelfallbasis spezifische Vereinbarungen zu treffen sein werden). Nur unter dieser Voraussetzung kann die Gegenseitigkeit anerkannt werden.

47.

Der erste dabei zu berücksichtigende Aspekt betrifft die Gegenseitigkeit materiellrechtlicher Bestimmung zum Datenschutz. Nach Ansicht des EDSB sollte bei einem Abkommen mit dem Konzept der Gegenseitigkeit materiellrechtlicher Bestimmungen zum Datenschutz in einer Weise umgegangen werden, die es erlaubt, einerseits dafür zu sorgen, dass die Datenverarbeitung innerhalb des Gebiets der EU (und der Vereinigten Staaten) unter uneingeschränkter Achtung der innerstaatlichen Rechtsvorschriften zum Datenschutz erfolgt, und andererseits sicherzustellen, dass eine Verarbeitung von Daten, die außerhalb des Herkunftsstaates der Daten erfolgt und in den Anwendungsbereich des Abkommens fällt, unter Achtung der im Abkommen enthaltenen Datenschutzgrundsätze durchgeführt wird.

48.

Der zweite Aspekt ist die Gegenseitigkeit der Rechtsbehelfsmechanismen. Es muss sichergestellt sein, dass für europäische Bürger angemessene Rechtsbehelfe bestehen, wenn ihre Person betreffende Daten in den Vereinigten Staaten verarbeitet werden (unabhängig von den Rechtsvorschriften, die für diese Verarbeitung gelten), und dass umgekehrt die Europäische Union und ihre Mitgliedstaaten US-Bürgern die gleichen Möglichkeiten einräumen.

49.

Ein dritter Aspekt ist die Gegenseitigkeit des Zugriffs auf personenbezogene Daten, der Strafverfolgungsbehörden gewährt wird. Sollte den Behörden der Vereinigten Staaten durch eine Übereinkunft Zugriff auf Daten gewährt werden, die aus der Europäischen Union stammen, würde Gegenseitigkeit bedeuten, dass den Behörden der Europäischen Union in derselben Weise Zugriff auf Daten gewährt wird, die aus den Vereinigten Staaten stammen. Diese Gegenseitigkeit darf die Wirksamkeit des Schutzes der Betroffenen nicht beeinträchtigen. Dies ist eine Voraussetzung dafür, dass ein „transatlantischer“ Zugriff auf Daten durch Strafverfolgungsbehörden gestattet wird. Konkret bedeutet dies, dass

50.

Die genaue Festlegung der Bewertungsbedingungen (Angemessenheit, Gleichwertigkeit, gegenseitige Anerkennung) ist von wesentlicher Bedeutung, da hierdurch der Inhalt im Hinblick auf Genauigkeit, Rechtssicherheit und Wirksamkeit des Schutzes bestimmt wird. Eine künftige Übereinkunft muss inhaltlich präzise und sorgfältig abgefasst sein.

51.

Darüber hinaus sollte eindeutig festgelegt sein, dass in jede weitere spezifische Vereinbarung, die im weiteren getroffen wird, ausführliche und umfassende Datenschutzbestimmungen für den Bereich aufgenommen werden müssen, für den im Rahmen der Vereinbarung ein Datenaustausch vorgesehen ist. Nur durch eine Festlegung von konkreten Datenschutzgrundsätzen auf beiden Ebenen kann das erforderliche enge Ineinandergreifen von allgemeinem Abkommen und spezifischen Vereinbarungen, wie bereits in den Nummern 35 und 36 dieser Stellungnahme bemerkt wurde, sichergestellt werden.

52.

Mit besonderer Aufmerksamkeit sollte geprüft werden, inwieweit ein Abkommen mit den Vereinigten Staaten als Modell für Abkommen mit anderen Drittländern dienen kann. Der EDSB weist darauf hin, dass in dem vorgenannten Bericht der Zukunftsgruppe neben den Vereinigten Staaten auch Russland als strategischer Partner der EU genannt wird. Soweit die Grundsätze neutral sind und mit den grundlegenden Schutzbestimmungen der EU übereinstimmen, können sie durchaus als nützliches Modell dienen. Besonderheiten jedoch, die beispielsweise mit dem Rechtsrahmen des empfangenden Landes oder dem Zweck der Datenübermittlung in Zusammenhang stehen, würden einer einfachen Übertragung des Abkommens entgegenstehen. Von ebenso entscheidender Bedeutung ist die Lage der Demokratie in Drittländern: es muss dafür gesorgt sein, dass die vereinbarten Grundsätze in dem empfangenden Land wirksam sichergestellt und umgesetzt werden.

53.

Für eine implizite oder explizite Angemessenheit sollte generell eine Übereinstimmung mit dem internationalen und dem europäischen Rechtsrahmen und insbesondere eine Übereinstimmung mit den gemeinsam vereinbarten Datenschutzgarantien gegeben sein. Diese sind in den Richtlinien der Vereinten Nationen, dem Übereinkommen 108 des Europarates und dem zugehörigen Zusatzprotokoll, den Richtlinien der OECD, dem Entwurf eines Rahmenbeschlusses über den Schutz personenbezogener Daten und — für den Bereich der ersten Säule — in der Richtlinie 95/46/EG (20) enthalten. Alle diese Übereinkünfte enthalten vergleichbare Grundsätze, die allgemein als Kerngrundsätze für den Schutz personenbezogener Daten anerkannt werden.

54.

Angesichts der Auswirkungen, die eine potenzielle Übereinkunft in der von der hochrangigen Kontaktgruppe vorgesehenen Form haben kann, ist es umso wichtiger, dass die vorgenannten Grundsätze angemessen berücksichtigt werden. Eine Übereinkunft, die den gesamten Strafverfolgungsbereich eines Drittlandes berührt, wäre in der Tat ein bisher noch nicht aufgetretenes Ereignis. Bestehende Beschlüsse zur Angemessenheit im Rahmen der ersten Säule und Übereinkommen, die im Rahmen der dritten Säule der EU mit Drittländern geschlossen wurden (Europol, Eurojust) standen immer mit spezifischen Datenübermittlungsvorgängen im Zusammenhang; im vorliegenden Fall jedoch könnte der Anwendungsbereich für die Übermittlung von Daten möglicherweise sehr viel weiter gefasst werden, wenn man bedenkt, dass die Zielsetzung sehr breit angelegt ist (Bekämpfung von strafbaren Handlungen, nationale und öffentliche Sicherheit, Grenzschutz) und dass keine Klarheit über die Zahl der Datenbanken, die betroffen wären, besteht.

55.

Die Bedingungen, die im Zusammenhang mit der Übermittlung personenbezogener Daten an Drittländer eingehalten werden müssen, sind in einem Arbeitspapier der Datenschutzgruppe (21) ausgearbeitet worden. Jedwede Vereinbarung von Mindestgrundsätzen für den Datenschutz sollte einer Übereinstimmungsprüfung unterzogen werden, durch die die Wirksamkeit der Datenschutzgarantien sichergestellt wird.

56.

Neben diesen drei grundlegenden Anforderungen muss auch den Besonderheiten, die sich aus der Verarbeitung personenbezogener Daten im Kontext der Strafverfolgung ergeben, spezielle Aufmerksamkeit gewidmet werden. Es handelt sich hierbei um einen Bereich, in dem fundamentale Rechte in gewissem Umfang eingeschränkt werden können. Deshalb müssen Schutzbestimmungen erlassen werden, durch die die Einschränkungen der Rechte des Einzelnen insbesondere bezüglich der nachstehenden Aspekte im Hinblick auf die Auswirkungen für den Einzelnen ausgeglichen werden:

57.

In diesem Kapitel werden die zwölf in dem Dokument der hochrangigen Kontaktgruppe enthaltenen Grundsätze unter folgenden Aspekten analysiert:

58.

Gemäß dem ersten in der Anlage zu dem Bericht der hochrangigen Kontaktgruppe aufgeführten Grundsatz hat die Verarbeitung personenbezogener Informationen zum Zwecke der rechtmäßigen Strafverfolgung zu erfolgen. Wie bereits erwähnt, versteht die Europäische Union darunter die Prävention, Feststellung, Ermittlung oder Verfolgung von strafbaren Handlungen. Gemäß dem Verständnis der Vereinigten Staaten geht der Begriff der Strafverfolgung über strafbare Handlungen hinaus und umfasst auch Zwecke des Grenzschutzes sowie der öffentlichen und der nationalen Sicherheit. Es ist unklar, welche Folgen diese Unstimmigkeit, die zwischen der EU und den Vereinigten Staaten in Bezug auf den verfolgten Zweck besteht, haben kann. Zwar heißt es in dem Bericht, dass die verfolgten Zwecke in der Praxis möglicherweise weitgehend deckungsgleich sind, dennoch ist es von entscheidender Bedeutung, dass Klarheit darüber besteht, in welchem Umfang sie sich nicht decken. Angesichts der Auswirkungen, die getroffene Maßnahmen auf Einzelpersonen haben können, muss im Bereich der Strafverfolgung der Grundsatz der Zweckbindung streng eingehalten werden. Der festgelegte Zweck muss eindeutig und eingegrenzt sein. In Anbetracht der im Bericht vorgesehenen Gegenseitigkeit scheint auch die Angleichung des von beiden Seiten verfolgten Zwecks von grundlegender Bedeutung. Kurz gesagt, es muss eindeutig präzisiert werden, wie dieser Grundsatz zu verstehen ist.

59.

Der EDSB begrüßt die Bestimmung, wonach für eine gesetzmäßige Verarbeitung personenbezogener Informationen deren sachliche Richtigkeit, Relevanz, Aktualität und Vollständigkeit Voraussetzung ist. Dieser Grundsatz ist eine Grundvoraussetzung für eine effiziente Verarbeitung von Daten.

60.

Dieser Grundsatz stellt einen eindeutigen Zusammenhang zwischen der erhobenen Information und der Notwendigkeit dieser Information für gesetzlich festgelegte Strafverfolgungszwecke her. Diese Forderung nach einer Rechtsgrundlage ist eine positive Komponente der Gewährleistung der Rechtmäßigkeit der Verarbeitung der Daten. Der EDSB weist dennoch darauf hin, dass hierdurch zwar für mehr Rechtssicherheit bei der Verarbeitung gesorgt wird, die Rechtsgrundlage für die Verarbeitung jedoch in einem Gesetz eines Drittlandes besteht. Ein Gesetz eines Drittlandes an sich kann nicht die rechtmäßige Grundlage für die Übermittlung personenbezogener Daten darstellen (22). Im Kontext des Berichts der hochrangigen Kontaktgruppe wird anscheinend die Rechtmäßigkeit des Gesetzes eines Drittlandes, d.h. der Vereinigten Staaten, grundsätzlich anerkannt. In diesem Zusammenhang muss berücksichtigt werden, dass diese Argumentation — selbst wenn sie in diesem Fall gerechtfertigt sein mag, da es sich bei den Vereinigten Staaten um einen demokratischen Staat handelt — in keiner Weise für die Beziehungen mit anderen Drittländern gelten und auch nicht auf diese Beziehungen übertragen werden kann.

61.

Die Übermittlung personenbezogener Daten muss gemäß der Anlage zu dem Bericht der hochrangigen Kontaktgruppe relevant, notwendig und angemessen sein. Der EDSB hebt hervor, dass im Rahmen der Verarbeitung nicht unangemessen stark in die Privatsphäre eingedrungen werden darf und dass die Verarbeitungsmodalitäten ausgewogen sein und den Rechten und Interessen der betroffenen Person Rechnung tragen müssen.

62.

Deshalb sollte der Zugang zu Informationen für jeden Einzelfall geregelt werden, je nach dem konkreten Bedarf im Rahmen einer spezifischen Ermittlung. Ein ständiger Zugriff auf Datenbanken in der EU durch die Strafverfolgungsbehörden eines Drittlandes wäre als unangemessen und nicht hinlänglich gerechtfertigt zu betrachten. Der EDSB weist darauf hin, dass selbst im Kontext bestehender Abkommen zum Datenaustausch, wie beispielsweise im Fall des PNR-Abkommens, der Austausch von Daten auf der Grundlage bestimmter Umstände erfolgt, und dass dieses Abkommen für einen begrenzten Zeitraum abgeschlossen wurde (23).

63.

Im gleichen Sinne sollte die Zeitdauer der Vorratsspeicherung von Daten geregelt sein: Daten sollten nur so lange gespeichert werden, wie sie in Anbetracht des verfolgten spezifischen Zwecks benötigt werden. Sind sie für den festgelegten Zweck nicht mehr relevant, sollten sie gelöscht werden. Der EDSB ist strikt gegen den Aufbau von Datenspeichern, in denen Angaben zu unverdächtigen Einzelpersonen in der Überlegung gespeichert werden, dass diese Angaben möglicherweise zu einem späteren Zeitpunkt noch einmal gebraucht werden könnten.

64.

Gemäß den Grundsätzen sind Maßnahmen und Verfahren vorgesehen, durch die Daten vor Missbrauch, Abänderung und sonstigen Gefahren geschützt werden sollen; ferner ist eine Bestimmung vorgesehen, durch die der Zugriff auf die Daten befugten Personen vorbehalten wird. Der EDSB hält dies für zufriedenstellend.

65.

Der Grundsatz könnte darüber hinaus um eine Bestimmung ergänzt werden, wonach Aufzeichnungen darüber zu führen wären, wer auf die Daten zugegriffen hat. Hierdurch würde den Schutzbestimmungen zur Beschränkung des Zugriffs auf Daten und zur Verhinderung des Datenmissbrauchs mehr Wirksamkeit verliehen.

66.

Überdies sollte vorgesehen werden, dass sich die Parteien im Fall von Sicherheitsverletzungen gegenseitig informieren: die Datenempfänger in den Vereinigten Staaten und in der EU wären dafür zuständig, die jeweils andere Seite davon in Kenntnis zu setzen, wenn die Daten, die ihnen übermittelt wurden, unrechtmäßig offengelegt wurden. Hierdurch wird zu mehr Verantwortung für eine sichere Verarbeitung der Daten beigetragen.

67.

Nach Auffassung des EDSB wird der Grundsatz, der die Verarbeitung sensibler Daten verbietet, durch die Ausnahmeregelung, nach der eine Verarbeitung sensibler Daten zulässig ist, sofern die nationalen Rechtsvorschriften „geeignete Schutzbestimmungen“ vorsehen, erheblich abgeschwächt. Gerade weil es sich um sensible Informationen handelt, muss jede Ausnahmeregelung vom Verbotsgrundsatz angemessen sein und genau begründet werden; diese Begründung muss nicht nur eine Auflistung der Zwecke, zu denen bestimmte Arten von sensiblen Daten verarbeitet werden können, und der Umstände, unter denen eine solche Verarbeitung erfolgen kann, umfassen, sondern auch Angaben zur Eigenschaft der betreffenden zur Verarbeitung dieser Daten ermächtigten Verantwortlichen enthalten. Nach Auffassung des EDSB sollte es Bestandteil der zu vereinbarenden Schutzbestimmungen sein, dass sensible Daten an sich kein Faktor sein dürfen, der Ermittlungen auslöst. Sensible Daten könnten unter bestimmten Umständen zur Verfügung gestellt werden, jedoch lediglich als ergänzende Informationen zu einer betroffenen Person, gegen die bereits Ermittlungen eingeleitet wurden. Der Wortlaut des Grundsatzes muss eine erschöpfende Aufzählung dieser Schutzbestimmungen und Bedingungen enthalten.

68.

Wie bereits in den Nummern 55 und 56 dieser Stellungnahme erläutert, muss auf wirksame Weise sichergestellt werden, dass öffentliche Einrichtungen, die personenbezogene Daten verarbeiten, einer Rechenschaftspflicht unterliegen, und das Abkommen muss Garantien dazu enthalten, wie diese Rechenschaftspflicht durchzusetzen ist. Dies ist umso wichtiger, als im Kontext der Strafverfolgung bei der Verarbeitung personenbezogener Daten generell mangelnde Transparenz herrscht. Unter diesem Aspekt bietet die simple Erwähnung des Umstands, dass die öffentlichen Einrichtungen rechenschaftspflichtig sind, ohne dabei die Modalitäten und Folgen dieser Rechenschaftspflicht näher zu erläutern (dies ist in der Anlage zu dem Bericht der Fall), keine hinreichende Garantie. Der EDSB empfiehlt, entsprechende Erläuterungen in den Wortlaut der Übereinkunft aufzunehmen.

69.

Der EDSB spricht sich uneingeschränkt für die Aufnahme einer Bestimmung aus, durch die eine unabhängige und wirksame Beaufsichtigung durch eine oder mehrere öffentliche Aufsichtsbehörden sichergestellt wird. Seiner Auffassung nach sollte klargestellt werden, was genau unter der Unabhängigkeit zu verstehen ist, insbesondere, von welchen Stellen die Aufsichtsbehörden unabhängig sind und welchen Stellen sie unterstellt sind. Hierzu sind Kriterien erforderlich, die einer institutionellen und einer funktionalen Unabhängigkeit in Bezug auf die Exekutiv- und Legislativorgane Rechnung tragen. Der EDSB weist darauf hin, dass es sich hierbei um einen wesentlichen Faktor für die Gewährleistung einer wirksamen Einhaltung der vereinbarten Grundsätze handelt. Die Einwirkungs- und Durchsetzungsbefugnisse der Aufsichtsbehörden sind außerdem im Hinblick auf die vorstehend bereits angesprochene Frage der Rechenschaftspflicht der öffentlichen Stellen, die personenbezogene Daten verarbeiten, von entscheidender Bedeutung. Betroffene Personen sollten deutlich auf das Vorhandensein und die Befugnisse der Aufsichtsbehörden hingewiesen werden, damit sie ihre Rechte wahrnehmen können; dies gilt insbesondere dann, wenn je nach dem Kontext der Verarbeitung mehrere Behörden zuständig sind.

70.

Darüber hinaus empfiehlt der EDSB, dass in einem künftigen Abkommen auch Mechanismen für eine Zusammenarbeit zwischen den Aufsichtsbehörden vorgesehen werden sollten.

71.

Hinsichtlich des Zugangs zu Daten und deren Berichtigung sind im Kontext der Strafverfolgung besondere Garantien erforderlich. Aus diesem Grund begrüßt der EDSB den Grundsatz, dem zufolge Einzelpersonen Zugang zu sie betreffenden personenbezogenen Informationen und das Recht auf „Berichtigung und/oder Streichung“ dieser Informationen gewährt wird/gewährt werden muss. Es besteht jedoch nach wie vor eine gewisse Unsicherheit hinsichtlich des Begriffs der Einzelperson (alle betroffenen Personen müssen geschützt werden, nicht nur die Bürger des betreffenden Staates) und hinsichtlich der Bedingungen, unter denen Einzelpersonen Einspruch gegen die Verarbeitung von sie betreffenden Informationen einlegen können. Es muss eindeutiger festgelegt werden, welches die „geeigneten Fälle“ sind, in denen Einspruch eingelegt oder nicht eingelegt werden kann. Es sollte für betroffene Personen deutlich sein, unter welchen Umständen — abhängig beispielsweise von der Art der Behörde, der Art der Ermittlungen oder von anderen Kriterien — sie ihre Rechte ausüben können.

72.

Überdies sollte für den Fall, dass aus gerechtfertigten Gründen keine direkte Möglichkeit besteht, gegen die Verarbeitung Einspruch einzulegen, eine Möglichkeit zur indirekten Überprüfung bestehen, wobei diese indirekte Überprüfung durch die Behörde vorgenommen werden sollte, die für die Beaufsichtigung der Verarbeitung zuständig ist.

73.

Der EDSB weist einmal mehr darauf hin, wie wichtig tatsächliche Transparenz dafür ist, dass Einzelpersonen ihre Rechte wahrzunehmen können. Außerdem wird durch tatsächliche Transparenz zur allgemeinen Rechenschaftspflicht öffentlicher Behörden, die personenbezogene Daten verarbeiten, beigetragen. Der EDSB befürwortet diesen Grundsatz in der vorgeschlagenen Form und hebt insbesondere hervor, dass eine allgemeine Benachrichtigung und eine individuelle Benachrichtigung der betroffenen Einzelpersonen notwendig ist. In dem in Nummer 9 der Anlage zu dem Bericht enthaltenen Grundsatz-Entwurf wird diesem Umstand Rechnung getragen.

74.

In dem Bericht heißt es jedoch in Kapitel 2 Abschnitt A Buchstabe B („Agreed upon Principles“ — Vereinbarte Grundsätze), dass in den Vereinigten Staaten der Begriff Transparenz — einzeln oder in Kombination — die Veröffentlichung im Federal Register, die individuelle Benachrichtigung oder die Offenlegung im Rahmen eines Gerichtsverfahrens umfassen kann. Es muss klar festgeschrieben sein, dass die Veröffentlichung in einem Amtsblatt an sich noch nicht ausreichend ist, um sicherzustellen, dass eine betroffene Person angemessen benachrichtigt wurde. Der EDSB weist darauf hin, dass nicht nur die Notwendigkeit einer individuellen Benachrichtigung besteht, sondern dass darüber hinaus diese Benachrichtigung außerdem in einer Form und in Formulierungen erfolgen muss, die der betroffenen Person leicht verständlich sind.

75.

Damit eine Einzelperson ihre Rechte wirksam ausüben kann, muss sie die Möglichkeit haben, Beschwerde bei einer unabhängigen Datenschutzbehörde zu erheben und Rechtsmittel bei einem unabhängigen und unparteiischen Gericht einzulegen. Beide Arten des Rechtsbehelfs sollten gleichermaßen zur Verfügung stehen.

76.

Die Möglichkeit der Anrufung einer unabhängigen Datenschutzbehörde muss gegeben sein, da hierdurch in einem Kontext, der Einzelpersonen oftmals sehr undurchsichtig erscheinen mag (nämlich der Kontext der Strafverfolgung), auf flexible und weniger kostspielige Weise Unterstützung gewährt werden kann. Datenschutzbehörden können überdies auch dadurch Unterstützung leisten, dass sie im Namen betroffener Personen deren Recht auf Zugang zu den diese Personen betreffenden personenbezogenen Daten wahrnehmen, wenn diesen Personen aufgrund von Ausnahmeregelungen der Zugang verwehrt wird.

77.

Der Zugang zur Gerichtsbarkeit ist eine weitere unerlässliche Garantie dafür, dass betroffene Personen Rechtsbehelf bei einer Behörde einlegen können, die einem anderen Teil des demokratischen Systems angehört als die öffentlichen Einrichtungen, die mit der Verarbeitung der diese Personen betreffenden Daten befasst sind. Eine solche Möglichkeit der wirksamen Anfechtung vor Gericht hält der Europäische Gerichtshof (24) für „wesentlich“ für „die Gewährung eines effektiven Rechtsschutzes. (…) [Dies] stellt […] einen allgemeinen Grundsatz des Gemeinschaftsrechts dar, der sich aus den gemeinsamen Verfassungstraditionen der Mitgliedstaaten ergibt und in den Artikeln 6 und 13 der Europäischen Menschenrechtskonvention verankert ist.“ Das Recht auf einen wirksamen Rechtsbehelf ist außerdem ausdrücklich in Artikel 47 der Charta der Grundrechte der Europäischen Union sowie in Artikel 22 der Richtlinie 95/46 EG verankert, unbeschadet etwaiger Rechtsbehelfe auf Verwaltungsebene.

78.

Der EDSB begrüßt, dass eine Bestimmung vorgesehen ist, durch die für geeignete Garantien bei der automatisierten Verarbeitung personenbezogener Informationen gesorgt wird. Er stellt fest, dass eine gemeinsame Auffassung in der Frage, was als „bedeutende nachteilige Maßnahmen gegen die relevanten Interessen einer Einzelperson“ einzustufen ist, dazu beitragen würde, die Bedingungen für die Anwendung dieses Grundsatzes eindeutig festzulegen.

79.

Die Bedingungen, die für die Weiterübermittlung von Daten gelten, sind nicht in allen Fällen eindeutig festgeschrieben. Dies gilt insbesondere für Fälle, in denen die Weiterübermittlung im Einklang mit internationalen Regelungen und Abkommen zwischen dem übermittelnden und dem empfangenden Staat erfolgen muss: hier sollte konkret angegeben werden, ob auf Abkommen Bezug genommen wird, die zwischen den beiden Staaten geschlossen wurden, die die erste ursprüngliche Datenübermittlung eingeleitet haben, oder auf Abkommen zwischen den beiden Staaten, die an der Weiterübermittlung von Daten beteiligt sind. Der EDSB ist der Auffassung, dass in jedem Fall Abkommen zwischen den beiden Staaten, die die erste ursprüngliche Datenübermittlung eingeleitet haben, bestehen müssen.

80.

Der EDSB weist außerdem darauf hin, dass der Begriff des „legitimen öffentlichen Interesses“, dessen Vorliegen Voraussetzung für die Weiterübermittlung ist, sehr weit gefasst ist. Ferner ist unklar, was unter den Begriff der öffentlichen Sicherheit fällt; im Kontext der Strafverfolgung scheint eine Ausweitung der Datenübermittlung auf Fälle von Ethikverstößen und auf reglementierte Berufe weder gerechtfertigt noch angemessen.

81.

Der EDSB begrüßt die gemeinsame Arbeit seitens der EU und der US-Regierung im Bereich der Strafverfolgung, in dem der Datenschutz von entscheidender Bedeutung ist. Er möchte dennoch deutlich darauf hinweisen, dass es sich hierbei — insbesondere in Bezug auf den genauen Anwendungsbereich und die Art des Abkommens — um eine komplexe Problemstellung handelt und dass deshalb eine gründliche und eingehende Analyse erforderlich ist. Die Auswirkungen einer transatlantischen Übereinkunft zum Datenschutz sollten sorgfältig im Zusammenhang mit dem bestehenden Rechtsrahmen und den Folgen für die Bürgerinnen und Bürger geprüft werden.

82.

Der EDSB fordert insbesondere in Bezug auf die nachstehenden Punkte eindeutige Abgrenzungen und konkrete Bestimmungen:

83.

Der EDSB weist nachdrücklich darauf hin, dass jegliche Übereilung bei der Ausarbeitung der Grundsätze vermieden werden sollte, da sie zu Lösungen führen könnte, die nicht zufriedenstellend sind und in Bezug auf den Datenschutz eine Wirkung entfalten können, die im Gegensatz zur gewünschten Wirkung steht. Zum gegenwärtigen Zeitpunkt sollte das weitere Vorgehen deshalb darin bestehen, einen Fahrplan im Hinblick auf eine zu einem späteren Zeitpunkt zu schließende Übereinkunft auszuarbeiten.

84.

Überdies fordert der EDSB mehr Transparenz bei der Ausarbeitung der Grundsätze für den Datenschutz. Nur wenn alle interessierten Kreise — und auch das Europäische Parlament — einbezogen werden, kann die Übereinkunft mithilfe einer demokratischen Debatte die erforderliche Unterstützung für die Übereinkunft und ihre Anerkennung erhalten.

—

Agreement between the United States of America and the European Police Office of 6 December 2001, and Supplemental agreement between Europol and the USA on exchange of personal data and related information (Abkommen zwischen den Vereinigten Staaten von Amerika und dem Europäischen Polizeiamt vom 6. Dezember 2001 und Ergänzendes Abkommen zwischen Europol und den USA über den Austausch personenbezogener Daten und zugehöriger Informationen), in englischer Fassung abrufbar auf der Website von Europol;

—

Agreement between the United States of America and Eurojust on judicial cooperation (Abkommen zwischen den Vereinigten Staaten von Amerika und Eurojust zur justiziellen Zusammenarbeit) vom 6. November 2006, englische Fassung abrufbar auf der Website von Eurojust;

—

Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records — PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS) (PNR-Abkommen von 2007), unterzeichnet in Brüssel am 23. Juli 2007 und in Wahington am 26. Juli 2007, ABl. L 204 vom 4.8.2007, S. 18.

—

Briefwechsel zwischen den Behörden der Vereinigten Staaten und der EU über das Programm zum Aufspüren der Finanzierung des Terrorismus, 28. Juni 2007.

—

Richtlinien zur Regelung von automatisierten personenbezogenen Dateien, verabschiedet von der Generalversammlung der VN am 14. Dezember 1990, engl. Fassung abrufbar unter www.unhchr.ch/html/menu3/b/71.htm

—

Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten des Europarates vom 28. Januar 1981, abrufbar unter http://conventions.coe.int/Treaty/GER/Treaties/Html/108.htm

—

OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data (Richtlinien der OECD über den Schutz der Privatsphäre und den grenzüberschreitenden Datenverkehr) vom 23. September 1980, engl. Fassung abrufbar unter www.oecd.org/document/20/0,3343,en_2649_34255_15589524_1_1_1_1,00.html

—

Entwurf eines Rahmenbeschlusses des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, in der Fassung abrufbar unter http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=en&DosId=193371

—

Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281 vom 23.11.1995, S. 31.

6.6.2009   

DE

Amtsblatt der Europäischen Union

C 128/13

1.

Die Kommission hat am 30. Mai 2008 die Mitteilung an den Rat, das Europäische Parlament und den Europäischen Wirtschafts- und Sozialausschuss „Eine europäische Strategie für die e-Justiz“ (nachstehend „Mitteilung“ genannt) angenommen. Gemäß Artikel 41 der Verordnung (EG) Nr. 45/2001 nimmt der Europäische Datenschutzbeauftragte (EDSB) hiermit Stellung dazu.

2.

In der Mitteilung wird eine Strategie für den elektronischen Rechtsverkehr (E-Justiz) vorgeschlagen, durch die das Vertrauen der Bürgerinnen und Bürger in den europäischen Rechtsraum gestärkt werden soll. Vorrangiges Ziel des elektronischen Rechtsverkehrs sollte es sein, zum Nutzen der Bürger europaweit zu einer effizienteren Rechtspflege beizutragen. Die diesbezüglichen Maßnahmen der EU sollen es den Bürgern ermöglichen, auf Informationen zuzugreifen, ohne durch sprachliche, kulturelle und rechtliche Barrieren, die durch die Vielzahl verschiedener Systeme entstehen können, behindert zu werden. Der Mitteilung ist der Entwurf eines Aktions — und Zeitplans für die verschiedenen Vorhaben beigefügt.

3.

Der EDSB befasst sich in der vorliegenden Stellungnahme mit den Aspekten der Mitteilung, die mit der Verarbeitung personenbezogener Daten, dem Datenschutz im Bereich der elektronischen Kommunikation und dem freien Datenverkehr in Zusammenhang stehen.

4.

Der Rat (Justiz und Inneres) hat im Juni 2007 mehrere Prioritäten für die Entwicklung des elektronischen Rechtsverkehrs festgelegt (3):

5.

Seitdem ist die Arbeit im Bereich des elektronischen Rechtsverkehrs kontinuierlich vorangeschritten. Nach Auffassung der Kommission muss bei der in diesem Bereich geleisteten Arbeit operativen Projekten und dezentralen Strukturen Priorität eingeräumt und gleichzeitig eine Koordinierung auf europäischer Ebene sichergestellt werden, wobei die geltenden Rechtsvorschriften als Grundlage dienen und deren Wirksamkeit mit Hilfe von IT-Werkzeugen zu verbessern ist. Das Europäische Parlament hat ebenfalls seine Unterstützung für das e-Justiz-Vorhaben zum Ausdruck gebracht (4).

6.

Die Kommission setzt sich seit langem dafür ein, dass sowohl auf zivilrechtlichem als auch auf strafrechtlichem Gebiet verstärkt Gebrauch von modernen Informationstechnologien gemacht wird. Dies führte zur Einführung von Instrumenten wie beispielsweise dem Europäischen Zahlungsbefehl. Die Kommission verwaltet seit 2003 das Internetportal des Europäischen Justiziellen Netzes für Zivil- und Handelssachen, das den Bürgern in 22 Sprachen zugänglich ist. Außerdem hat sie den Europäischen Justiziellen Atlas konzipiert und aufgebaut. Diese elektronischen Werkzeuge sind Vorläufersysteme für einen künftigen europäischen Rahmen für den elektronischen Rechtsverkehr. Auf strafrechtlichem Gebiet hat die Kommission an einem elektronischen Werkzeug für den Austausch von Informationen aus den Strafregistern der Mitgliedstaaten gearbeitet (5). Neben der Kommission hat auch Eurojust in Zusammenarbeit mit den nationalen Behörden sichere Kommunikationssysteme entwickelt.

7.

Durch den elektronischen Rechtsverkehr sollen zahlreiche Möglichkeiten geboten werden, durch die der Europäische Rechtsraum in den nächsten Jahren für den Bürger konkreter Gestalt annehmen soll. Die Kommission hat die Mitteilung zum elektronischen Rechtsverkehr angenommen, um eine Gesamtstrategie für dieses wichtige Thema festzulegen. In der Mitteilung werden objektive Kriterien für die Ermittlung von Prioritäten insbesondere für künftige Vorhaben auf europäischer Ebene festgelegt, um in absehbarer Zeit greifbare Ergebnisse erzielen zu können.

8.

Die Arbeitsunterlage der Kommissionsdienststellen, ein Begleitdokument zu der Mitteilung, enthält außer einer Zusammenfassung der Folgenabschätzung auch einige Hintergrundinformationen (6). Im Folgenabschätzungsbericht sind die Reaktionen der Mitgliedstaaten, der Justizbehörden, der Angehörigen der Rechtsberufe, der Bürger und der Unternehmen berücksichtigt worden. Der EDSB ist nicht konsultiert worden. In dem Folgenabschätzungsbericht wurde für das Herangehen an die Fragestellung einer Politikoption der Vorzug gegeben, die die europäische Dimension mit nationalen Kompetenzen kombiniert. In der Mitteilung ist diese Politikoption gewählt worden. Im Rahmen der Strategie wird der Schwerpunkt auf die Nutzung von Videokonferenzen, die Einrichtung eines e-Justiz-Portals, die Verbesserung der Übersetzungsmöglichkeiten durch Entwicklung automatischer Online-Übersetzungstools, die Verbesserung der Kommunikation zwischen Justizbehörden, eine verstärkte Vernetzung der einzelstaatlichen Register und auf Online-Werkzeuge für europäische Verfahren (z.B. Europäisches Mahnverfahren) gelegt.

9.

Der EDSB stimmt den vorstehend aufgeführten Maßnahmenschwerpunkten zu. Generell tritt er dafür ein, im Zusammenhang mit dem elektronischen Rechtsverkehr einen umfassenden Ansatz zu verfolgen. Er schließt sich der Auffassung an, dass in den drei Bereichen Zugang zur Justiz, Zusammenarbeit zwischen den europäischen Justizbehörden und Effizienz des Justizsystems Verbesserungen notwendig sind. Dieser Ansatz wird mehrere Institutionen, Organe und Personen betreffen, nämlich

10.

Die Mitteilung steht in engem Zusammenhang mit dem Vorschlag für einen Beschluss des Rates zur Einrichtung des Europäischen Strafregisterinformationssystems (ECRIS). Der EDSB hat am 16. September 2008 eine Stellungnahme zu diesem Vorschlag abgegeben (7). Darin befürwortet er den Vorschlag mit der Maßgabe, dass einigen von ihm vorgebrachten Bemerkungen Rechnung getragen wird. Insbesondere hat er darauf hingewiesen, dass das gegenwärtige Fehlen eines umfassenden rechtlichen Rahmens für den Datenschutz im Bereich der Zusammenarbeit von Polizei und Justizbehörden durch ergänzende Datenschutzgarantien ausgeglichen werden sollte. Deshalb hat er die Notwendigkeit einer wirksamen Koordinierung bei der Datenschutzaufsicht des Systems hervorgehoben, an der die Behörden der Mitgliedstaaten und die Kommission als die für die gemeinsame Kommunikationsinfrastruktur zuständige Stelle mitwirken.

11.

Einige der in der genannten Stellungnahme ausgesprochenen Empfehlungen sollten an dieser Stelle in Erinnerung gerufen werden:

12.

Diese Empfehlungen geben noch immer den Kontext wieder, in dem die Mitteilung analysiert wird.

13.

Der elektronische Rechtsverkehr hat einen sehr ausgedehnten Anwendungsbereich, der generell auch die Nutzung von Informations- und Kommunikationstechnologien in der Rechtspflege in der Europäischen Union umfasst. Hierzu gehören unter anderem auch Vorhaben, die darauf abzielen, die Übermittlung von Informationen an Rechtssuchende effizienter zu gestalten. Dies schließt Online-Informationen über Justizsysteme, Rechtsvorschriften und Rechtsprechung, Systeme für die elektronische Kommunikation zwischen Rechtssuchenden und Gerichten und die Schaffung von Verfahren, die vollständig elektronisch abgewickelt werden können, ein. Ebenfalls eingeschlossen sind europäische Vorhaben wie der Rückgriff auf elektronische Mittel für die Gerichtsprotokollierung und Vorhaben für den Informationsaustausch oder Verbundprojekte.

14.

Der EDSB konnte feststellen, dass der Anwendungsbereich zwar sehr weit gefasst ist und Informationen über Strafverfahren und über Zivilrechts- und Handelsrechtssysteme verfügbar sein werden, dass jedoch keine Informationen über die Verwaltungsrechtssysteme verfügbar sein werden. Ferner wird eine Verbindung zu Gerichtsatlanten für Straf- und Zivilsachen bestehen, nicht jedoch zu einem Gerichtsatlas für Verwaltungssachen, obwohl es für Bürger und Unternehmen möglicherweise interessanter wäre, wenn ein Zugang zu den Verwaltungsrechtssystemen, d.h. zu Verwaltungsrecht und Beschwerdeverfahren, bestünde. Ferner sollte auch für eine Verbindung zur Vereinigung der Staatsräte gesorgt werden. Diese Erweiterung des Anwendungsbereichs könnte für Bürger von Vorteil sein, die versuchen, sich einen Weg durch das Dickicht des Verwaltungsrechts — mit allen zugehörigen Gerichtsbarkeiten — zu bahnen, um besser über die Verwaltungsrechtssysteme informiert zu sein.

15.

Der EDSB empfiehlt daher, verwaltungsgerichtliche Verfahren in den elektronischen Rechtsverkehr einzuschließen. Im Zusammenhang mit diesem neuen Bestandteil sollten Vorhaben im Bereich des elektronischen Rechtsverkehrs eingeleitet werden, um die Datenschutzvorschriften und die nationalen Datenschutzbehörden insbesondere im Zusammenhang mit den im Rahmen des elektronischen Rechtsverkehrs verarbeiteten Arten von Daten deutlicher in Erscheinung treten zu lassen. Dies würde im Einklang mit der im November 2006 von den Datenschutzbehörden eingeleiteten „Londoner Initiative“ stehen, deren Zielsetzung lautet „Datenschutz vermitteln und effizienter gestalten“.

16.

Da in der Mitteilung vorgesehen ist, den Austausch personenbezogener Daten zwischen den Justizbehörden auszuweiten, gewinnt der geltende Rechtsrahmen für den Datenschutz immer stärker an Bedeutung. In diesem Zusammenhang stellt der EDSB fest, dass der Rat der Europäischen Union am 27. November 2008 — drei Jahre nach Vorlage des ursprünglichen Vorschlags der Kommission — einen Rahmenbeschluss über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden (8), angenommen hat. Dieser neue Rechtsakt schafft einen allgemeinen Rechtsrahmen für den Datenschutz im Rahmen der dritten Säule und ergänzt damit die Datenschutzbestimmungen der Richtlinie 95/46/EG, die im Rahmen der ersten Säule anzuwenden sind.

17.

Der EDSB begrüßt diesen Rechtsakt als einen ersten bedeutenden Schritt hin zum Datenschutz bei der polizeilichen und justiziellen Zusammenarbeit. Das durch den endgültigen Text sichergestellte Datenschutzniveau ist jedoch nicht vollständig zufriedenstellend anzusehen. Insbesondere erfasst der Rahmenbeschluss lediglich polizeiliche und justizielle Daten, die zwischen den Mitgliedstaaten, EU-Behörden und EU-Systemen ausgetauscht werden, nicht jedoch innerstaatlich verarbeitete Daten. Außerdem wird in dem verabschiedeten Rahmenbeschluss nicht die Verpflichtung festgeschrieben, zwischen verschiedenen Kategorien betroffener Personen, nämlich Verdächtigen, Kriminellen, Zeugen und Opfern, zu unterscheiden, um dafür zu sorgen, dass die Verarbeitung der jeweiligen Daten unter Anwendung angemessener Schutzbestimmungen erfolgt. Ferner steht der Rahmenbeschluss insbesondere in Bezug auf die Beschränkung der Zwecke, zu denen personenbezogene Daten weiterverarbeitet werden können, nicht völlig im Einklang mit der Richtlinie 95/46/EG. Überdies ist darin auch keine unabhängige Gruppe einschlägiger nationaler Datenschutzbehörden und EU-Datenschutzbehörden vorgesehen, die sowohl für eine bessere Koordinierung zwischen den Datenschutzbehörden sorgen als auch einen wesentlichen Beitrag zur einheitlichen Durchführung des Rahmenbeschlusses leisten könnten.

18.

Daraus folgt, dass in einem Kontext, in dem viele Anstrengungen darauf verwendet werden, gemeinsame Systeme für den grenzüberschreitenden Austausch personenbezogener Daten zu entwickeln, nach wie vor unterschiedliche Regelungen dafür bestehen, wie diese Daten verarbeitet werden und wie Bürger in verschiedenen EU-Ländern ihre Rechte ausüben können.

19.

Der EDSB weist erneut darauf hin, dass ein hohes Datenschutzniveau bei der polizeilichen und justiziellen Zusammenarbeit sowie Kohärenz mit der Richtlinie 95/46/EG eine notwendige Ergänzung zu anderen Maßnahmen sind, die bereits eingeführt wurden oder noch eingeführt werden sollen, um den grenzüberschreitenden Austausch von personenbezogenen Daten in der Strafverfolgung zu vereinfachen. Dies leitet sich nicht nur aus dem Recht der Bürger auf Wahrung des Grundrechts auf Schutz personenbezogener Daten, sondern auch aus der für die Strafverfolgungsbehörden bestehenden Notwendigkeit her, die Qualität der ausgetauschten Daten (wie in der Anlage zu der Mitteilung in Bezug auf die Vernetzung der Strafregister bestätigt) sicherzustellen, Vertrauen zwischen den Behörden der verschiedenen Länder aufzubauen und schließlich dafür zu sorgen, dass in grenzüberschreitenden Fällen erhobenes Beweismaterial Rechtsgültigkeit besitzt.

20.

Der EDSB fordert die Organe der EU deshalb auf, diesen Aspekten eigens Rechnung zu tragen, und zwar nicht nur bei der Durchführung der in der Mitteilung vorgesehenen Maßnahmen, sondern auch im Hinblick darauf, dass so frühzeitig wie möglich Überlegungen dazu angestellt werden, wie der Rechtsrahmen für den Datenschutz im Bereich der Strafverfolgung weiter verbessert werden kann.

21.

Der EDSB verkennt nicht, dass der Austausch personenbezogener Daten bei der Schaffung des Raums der Freiheit, der Sicherheit und des Rechts eine wesentliche Rolle spielt. Deshalb befürwortet der EDSB den Vorschlag für eine Strategie für die e-Justiz, weist jedoch nachdrücklich darauf hin, wie wichtig in diesem Zusammenhang der Datenschutz ist. Die Wahrung des Datenschutzes ist nicht nur eine rechtliche Verpflichtung, sondern es handelt sich dabei auch um einen Faktor, der wesentlich zum Erfolg der geplanten Systeme beiträgt, indem zum Beispiel die Qualität der ausgetauschten Daten sichergestellt wird. Dies gilt ebenso für die Organe und Einrichtungen, und zwar sowohl bei der Verarbeitung personenbezogener Daten als auch bei der Entwicklung neuer Strategien. Die Regelungen und Grundsätze sollten in der Praxis angewendet und befolgt und insbesondere bei der Konzeption und dem Aufbau von Informationssystemen berücksichtigt werden. Der Schutz der Privatsphäre und der Datenschutz sind im wesentlichen „entscheidende Erfolgsfaktoren“ im Hinblick auf eine prosperierende und durch Ausgewogenheit gekennzeichnete Informationsgesellschaft. Deshalb ist es sinnvoll, so frühzeitig wie möglich darin zu investieren.

22.

In diesem Zusammenhang hebt der EDSB hervor, dass in der Mitteilung keine zentrale europäische Datenbank vorgesehen ist. Er begrüßt, dass einer dezentralen Systemarchitektur der Vorzug gegeben wird. Der EDSB erinnert an seine Stellungnahmen zum Europäischen Strafregisterinformationssystem (ECRIS) (9) und zur Prümer Initiative (10). In seiner Stellungnahme zum ECRIS hat der EDSB festgestellt, dass durch eine dezentrale Architektur verhindert wird, dass personenbezogene Daten noch ein weiteres Mal in einer zentralen Datenbank gespeichert werden. In seiner Stellungnahme zur Prümer Initiative ersuchte er darum, bei den Beratungen über die Vernetzung von Datenbanken die Größenordnung des Systems gebührend zu berücksichtigen. Insbesondere sollten spezifische Datenaustauschformate, wie beispielsweise Online-Abfragen von Strafregisterdaten, festgelegt werden, die auch den sprachlichen Unterschieden Rechnung tragen; zudem sollte die Treffergenauigkeit bei den ausgetauschten Daten ständig überwacht werden. Diese Aspekte sollten auch bei Initiativen, die auf die Strategie für die e-Justiz zurückgehen, berücksichtigt werden.

23.

Die Europäische Kommission möchte in enger Absprache mit den Mitgliedstaaten und weiteren Partnern zur Verstärkung und zur Weiterentwicklung der Instrumente des elektronischen Rechtsverkehrs auf europäischer Ebene beitragen. Dabei will sie sowohl die Anstrengungen der Mitgliedstaaten unterstützen als auch eigene IT-Werkzeuge entwickeln, wobei letztere die Kompatibilität der verschiedenen Systeme verbessern, den Zugang der Öffentlichkeit zum Recht und die Kommunikation zwischen den Justizbehörden erleichtern sowie beachtliche Skalenerträge auf europäischer Ebene ermöglichen sollen. Zur Kompatibilität der von den Mitgliedstaaten eingesetzten Software sei angemerkt, dass nicht alle Mitgliedstaaten unbedingt dieselbe Software einsetzen müssen (obwohl dies die praktischste Option wäre), dass die von ihnen verwendete Software jedoch vollständig kompatibel sein muss.

24.

Der EDSB empfiehlt, dass bei Vernetzung und Kompatibilität der Systeme der Grundsatz der Zweckbindung angemessen berücksichtigt werden sollte, und dass die Systeme unter Berücksichtigung von Datenschutzstandards konzipiert werden sollten („privacy by design“ — Konzept des „eingebauten Datenschutzes“). Jede Form der Interaktion verschiedener Systeme sollte gründlich dokumentiert werden. Die Kompatibilität der Systeme darf niemals eine Situation entstehen lassen, in der eine Behörde, die für bestimmte Daten nicht über eine Zugriffs- oder Nutzungsberechtigung verfügt, über ein anderes IT-System dennoch auf die besagten Daten zugreifen könnte. Der EDSB unterstreicht erneut, dass die Kompatibilität der Systeme an sich nicht eine Umgehung des Grundsatzes der Zweckbindung rechtfertigen darf (11).

25.

Als weiterer entscheidender Punkt muss sichergestellt sein, dass mit dem verstärkten grenzüberschreitenden Austausch personenbezogener Daten auch eine verstärkte Aufsicht und eine bessere Zusammenarbeit der Datenschutzbehörden einhergeht. Der EDSB hat schon in seiner Stellungnahme vom 29. Mai 2006 zu dem Rahmenbeschluss über den Austausch von Informationen aus den Strafregistern (12) die Auffassung vertreten, dass der vorgeschlagene Rahmenbeschluss nicht nur die Zusammenarbeit zwischen den Zentralbehörden, sondern auch die Zusammenarbeit zwischen den verschiedenen zuständigen Datenschutzbehörden regeln sollte. Diese Notwendigkeit besteht umso mehr, als im Laufe der Verhandlungen über den jüngst verabschiedeten Rahmenbeschluss über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und der justiziellen Zusammenarbeit in Strafsachen verarbeitet werden (13), die Bestimmung über die Einsetzung einer Arbeitsgruppe gestrichen wurde, in der die EU-Datenschutzbehörden hätten vertreten sein sollen und deren Aufgabe es gewesen wäre, die Tätigkeit dieser Behörden in Bezug auf die Verarbeitung von Daten im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen zu koordinieren. Deshalb wäre es im Hinblick auf eine effektive Aufsicht und einen hohen Qualitätsstandard bei der grenzüberschreitenden Übermittlung von Strafregisterdaten erforderlich, Mechanismen für eine wirksame Koordinierung zwischen den Datenschutzbehörden zu schaffen (14). Diese Mechanismen sollten auch der Tatsache Rechnung tragen, dass die Aufsicht über die Infrastruktur des s-TESTA-Netzes in die Zuständigkeit des EDSB fällt (15). Diese Mechanismen, die in enger Zusammenarbeit mit den Datenschutzbehörden weiter entwickelt werden könnten, könnten durch die Instrumente des elektronischen Rechtsverkehrs untermauert werden.

26.

Unter Nummer 4.2.1 der Mitteilung wird darauf hingewiesen, dass es wichtig ist, dass der Austausch von Strafregisterdaten über die justizielle Zusammenarbeit hinausgeht und auch andere Ziele wie den Zugang zu bestimmten Stellen mit einbezieht. Der EDSB weist nachdrücklich darauf hin, dass bei der Verarbeitung personenbezogener Daten zu Zwecken, die nicht denjenigen entsprechen, zu denen die Daten erhoben wurden, die besonderen Bedingungen, die in den geltenden Rechtsvorschriften zum Datenschutz festgelegt sind, eingehalten werden müssen. Insbesondere sollte die Verarbeitung personenbezogener Daten zu anderen Zwecken nur dann erlaubt sein, wenn diese Verarbeitung zur Verfolgung von Interessen, die in den Datenschutzvorschriften der Gemeinschaft (16) aufgeführt sind, erforderlich ist, und sofern diese Zwecke in Rechtsvorschriften festgeschrieben sind.

27.

In der Mitteilung heißt es im Zusammenhang mit der Vernetzung von Strafregistern, dass die Kommission mit Blick auf das Inkrafttreten des Rahmenbeschlusses über den Austausch von Informationen aus den Strafregistern zwei Machbarkeitsstudien in die Wege leiten wird, um die weitere Entwicklung des Projekts zu steuern und den Informationsaustausch auf strafrechtlich verurteilte Drittstaatsangehörige auszuweiten. Im Jahr 2009 wird die Kommission den Mitgliedstaaten Software zur Verfügung stellen, mit der in kurzer Zeit ein Austausch sämtlicher Strafregisterinformationen ermöglicht werden soll. Dieses Referenzsystem wird zusammen mit dem für den Informationsaustausch verwendeten System „s-TESTA“ Skaleneffekte ermöglichen, da die Mitgliedstaaten keine eigene Entwicklungsarbeit leisten müssen. Außerdem wird dadurch die technische Durchführung des Projekts vereinfacht.

28.

Vor diesem Hintergrund begrüßt der EDSB, dass die s-TESTA-Infrastruktur, die sich als ein verlässliches System für den Datenaustausch erwiesen hat, genutzt wird, und empfiehlt, dass die zu den vorgesehenen Datenaustauschsystemen zu erhebenden statistischen Daten im einzelnen festgelegt werden sollten und dass dabei die Notwendigkeit einer Datenschutzaufsicht gebührend berücksichtigt werden sollte. Die Statistiken könnten beispielsweise ausdrücklich Angaben enthalten wie die Anzahl von Anträgen auf Zugang zu personenbezogenen Daten oder auf Berichtigung dieser Daten, Angaben zu Dauer und Vollständigkeit des Aktualisierungsprozesses, Angaben zum Status der Personen, die Zugang zu diesen Daten haben, sowie Angaben zu Sicherheitsverletzungen. Außerdem sollten die statistischen Daten und die auf diesen Daten basierenden Berichte den zuständigen Datenschutzbehörden vollständig zur Verfügung gestellt werden.

29.

Der Einsatz der maschinellen Übersetzung kann sich als ein nützliches Instrument erweisen, das voraussichtlich ein besseres gegenseitiges Verständnis der relevanten Akteure in den Mitgliedstaaten bewirken wird. Die Nutzung der maschinellen Übersetzung sollte jedoch nicht zu einer Beeinträchtigung der Qualität der ausgetauschten Informationen führen, insbesondere dann nicht, wenn die übersetzten Informationen dazu genutzt werden, Entscheidungen zu treffen, die rechtliche Folgen für die betroffenen Personen haben. Der EDSB weist darauf hin, wie wichtig es ist, eindeutig festzulegen und einzugrenzen, wie die maschinelle Übersetzung genutzt wird. Würde bei der Übermittlung von Informationen, für die keine exakte Vorübersetzung vorliegt, auf die maschinelle Übersetzung zurückgegriffen, beispielsweise bei ergänzenden Bemerkungen oder Festlegungen, die in Einzelfällen angefügt sein können, so könnte dies die Qualität der übermittelten Informationen — und somit auch die Qualität der auf dieser Grundlage getroffenen Entscheidungen — beeinträchtigen und sollte deshalb grundsätzlich ausgeschlossen sein (17). Der EDSB schlägt vor, diese Empfehlung bei den Maßnahmen zu berücksichtigen, die auf der Grundlage der Mitteilung getroffen werden.

30.

In der Mitteilung ist vorgesehen, dass eine Datenbank der Gerichtsübersetzer und -dolmetscher geschaffen werden soll, wodurch eine Qualitätsverbesserung der Übersetzungs- und Dolmetschleistungen im Rechtsbereich bewirkt werden soll. Der EDSB befürwortet diese Zielsetzung, erinnert jedoch daran, dass auf eine solche Datenbank die einschlägigen Datenschutzbestimmungen anzuwenden sind. Insbesondere gilt, dass eine Vorabkontrolle durch die zuständigen Datenschutzbehörden unerlässlich wäre, wenn die Datenbank Daten zur Leistungsbewertung der Übersetzer enthielte.

31.

Unter Nummer 5 der Mitteilung wird darauf hingewiesen, dass es einer klaren Aufgabenverteilung auf die Kommission, die Mitgliedstaaten und die sonstigen Akteure der justiziellen Zusammenarbeit bedarf. Die Kommission wird die allgemeine Koordinierung vornehmen und dabei den Austausch bewährter Praktiken fördern; ferner wird sie die Inhalte des e-Justiz-Portals konzipieren und das Portal einrichten und koordinieren. Überdies wird die Kommission die Vernetzung der Strafregister vorantreiben und weiterhin unmittelbar für das Ziviljustiznetz verantwortlich bleiben und das Strafjustiznetz weiterhin unterstützen. Aufgabe der Mitgliedstaaten wird es sein, die Informationen über ihr Justizsystem, die auf der e-Justiz-Webseite abrufbar sind, auf dem neuesten Stand zu halten. Weitere Akteure sind die justiziellen Netze für Zivil- beziehungsweise Strafsachen und Eurojust. Sie werden in engem Zusammenwirken mit der Kommission Instrumente für eine effizientere justizielle Zusammenarbeit, insbesondere Instrumente für die maschinelle Übersetzung und ein System für einen sicheren Informationsaustausch, entwickeln. Der Mitteilung ist der Entwurf eines Aktions- und Zeitplans für die verschiedenen Vorhaben beigefügt.

32.

In diesem Zusammenhang hebt der EDSB hervor, dass im Europäischen Strafregisterinformationssystem (ECRIS) einerseits keine zentrale europäische Datenbank eingerichtet wird und kein unmittelbarer Zugriff auf die Strafregisterdatenbanken anderer Mitgliedstaaten vorgesehen ist, während andererseits auf der nationalen Ebene die Zuständigkeiten für die Richtigkeit der Angaben bei den zentralen Behörden der Mitgliedstaaten zusammenlaufen. In diesem System sind die Mitgliedstaaten für den Betrieb der nationalen Datenbanken und für den effizienten Ablauf des Informationsaustauschs verantwortlich. Unklar ist, ob die Verbindungssoftware in ihre Zuständigkeit fällt. Die Kommission wird den Mitgliedstaaten Software zur Verfügung stellen, mit der in kurzer Zeit ein Austausch sämtlicher Strafregisterinformationen ermöglicht werden soll. Dieses Referenzsystem wird zusammen mit dem System s-TESTA für den Informationsaustausch genutzt.

33.

Der EDSB geht davon aus, dass auch im Zusammenhang mit analogen Initiativen im Bereich des elektronischen Rechtsverkehrs vergleichbare Systeme eingesetzt werden können, und dass die Zuständigkeit für die gemeinsame Infrastruktur bei der Kommission liegt, obwohl in der Mitteilung hierzu keine Festlegung getroffen wird. Er schlägt vor, aus Gründen der Rechtssicherheit diese Zuständigkeit für die Maßnahmen, die auf der Mitteilung beruhen, eindeutig zu regeln.

34.

In der Anlage zu der Mitteilung ist eine Reihe von Vorhaben aufgeführt, die in den kommenden fünf Jahren durchgeführt werden sollen. Das erste Vorhaben mit dem Titel „Entwicklung der e-Justiz-Webseiten“ betrifft das e-Justiz-Portal. Als Maßnahmen sind hierfür eine Machbarkeitsstudie und die Entwicklung des Portals erforderlich. Außerdem ist die Einführung von Methoden für die Webseiten-Pflege und die Bereitstellung von Online-Informationen in allen EU-Sprachen erforderlich. Das zweite und das dritte Vorhaben haben die Vernetzung der Strafregister zum Gegenstand. Mit Vorhaben 2 wird eine Vernetzung der einzelstaatlichen Strafregister angestrebt. Mit Vorhaben 3 wird das Ziel verfolgt, einen Index von in der Europäischen Union verurteilten Drittstaatsangehörigen zu erstellen, was eine Machbarkeitsstudie und die Vorlage eines Legislativvorschlags erforderlich macht. Der EDSB stellt fest, dass das letztgenannte Vorhaben im Arbeitsprogramm der Kommission nicht mehr aufgeführt ist, so dass sich ihm die Frage aufdrängt, ob dies eine Änderung in den von der Kommission geplanten Vorhaben bedeutet oder ob lediglich die Durchführung dieses speziellen Vorhabens verschoben wurde.

35.

In der Mitteilung werden darüber hinaus drei Vorhaben auf dem Gebiet des elektronischen Datenaustauschs und drei Vorhaben im Bereich der Übersetzungshilfe aufgeführt. Hier ist ein Pilotprojekt geplant, das der schrittweisen Zusammenstellung eines vergleichenden mehrsprachigen Rechtsvokabulars dienen soll. Weitere relevante Vorhaben haben die Einführung dynamischer Formulare zu einschlägigen europäischen Rechtsvorschriften und die Förderung der Durchführung von Videokonferenzen durch die Justizbehörden zum Gegenstand. Und schließlich sollen im Rahmen der e-Justiz-Foren jährliche Konferenzen zu Themen des elektronischen Rechtsverkehrs durchgeführt und Schulungen für Angehörige der Rechtsberufe auf dem Gebiet der justiziellen Zusammenarbeit entwickelt werden. Der EDSB weist darauf hin, dass bei diesen Konferenzen und Schulungsmaßnahmen den Datenschutzbestimmungen und -praktiken hinreichend Rechnung getragen werden muss.

36.

In der Anlage ist somit ein breites Spektrum an Instrumenten aufgeführt, die auf europäischer Ebene eingesetzt werden sollen, um den Informationsaustausch zwischen den Akteuren in verschiedenen Mitgliedstaaten zu vereinfachen. Unter diesen Instrumenten wird dem e-Justiz-Portal, für das die Kommission die Hauptverantwortung trägt, eine wichtige Rolle zukommen.

37.

Zahlreichen dieser Instrumente ist gemeinsam, dass sie dazu dienen sollen, dass Informationen und personenbezogene Daten von verschiedenen Akteuren sowohl auf einzelstaatlicher Ebene als auch auf EU-Ebene ausgetauscht und verwaltet werden können, wobei diese Akteure den Datenschutzpflichten und der Aufsicht der Datenschutzbehörden gemäß der Richtlinie 95/46/EG bzw. der Verordnung (EG) Nr. 45/2001 unterworfen sind. Wie der EDSB bereits in seiner Stellungnahme zum Binnenmarktinformationssystem (IMI) (18) deutlich gemacht hat, ist es in diesem Zusammenhang von grundlegender Bedeutung, dafür zu sorgen, dass die Verantwortung in Bezug auf die Einhaltung der Datenschutzbestimmungen auf wirksame Weise und lückenlos wahrgenommen wird.

38.

Hierfür ist es im wesentlichen unerlässlich, dass einerseits die Zuständigkeiten für die Verarbeitung personenbezogener Daten in diesen Systemen eindeutig festgelegt und zugewiesen werden, und dass andererseits geeignete Koordinierungsmechanismen — insbesondere im Hinblick auf die Beaufsichtigung — vorgesehen werden, wo sie sich als erforderlich erweisen.

39.

Der Einsatz neuer Techniken ist einer der Eckpfeiler der Initiativen im Bereich des elektronischen Rechtsverkehrs: die Vernetzung der nationalen Register, die Weiterentwicklung der elektronischen Unterschrift, die Entwicklung gesicherter Netze und virtueller Austausch-Plattformen sowie die vermehrte Nutzung von Videokonferenzen werden in den nächsten Jahren grundlegende Bestandteile der Initiativen im Bereich des elektronischen Rechtsverkehrs sein.

40.

Vor diesem Hintergrund ist es von wesentlicher Bedeutung, dass Datenschutzbelange möglichst frühzeitig berücksichtigt und in der Architektur der geplanten Instrumente verankert werden. Hierbei sind sowohl die Systemarchitektur als auch die Durchführung geeigneter Sicherheitsmaßnahmen besonders wichtig. Das solcherart angewendete Konzept des „eingebauten Datenschutzes“ würde es ermöglichen, dass durch die einschlägigen Initiativen im Bereich des elektronischen Rechtsverkehrs für eine effiziente Verwaltung personenbezogener Daten und gleichzeitig für die Einhaltung der Datenschutzgrundsätze und für Sicherheit beim Datenaustausch zwischen Behörden gesorgt wird.

41.

Überdies hebt der EDSB hervor, dass die Instrumente der Informationstechnologie nicht nur dafür eingesetzt werden sollten, den Datenaustausch sicherzustellen, sondern auch dazu verwendet werden sollten, die Rechte der betroffenen Personen zu stärken. In dieser Hinsicht begrüßt der EDSB, dass der Mitteilung zufolge die Möglichkeit geprüft werden soll, dem Bürger die Möglichkeit zu bieten, online Einblick in sein Strafregister zu beantragen und diesen in der Sprache seiner Wahl zu erhalten (19). In dieser Frage weist der EDSB auf seine Stellungnahme zu dem Vorschlag der Kommission zum Austausch von Strafregisterdaten hin, in der er begrüßt hat, dass betroffenen Personen die Möglichkeit eingeräumt werden soll, Angaben zu ihrem Strafregister bei der Zentralbehörde eines Mitgliedstaats anfordern zu können, sofern sie Gebietsansässige oder Staatsangehörige des ersuchten oder des ersuchenden Mitgliedstaats sind. Der EDSB hat bereits im Zusammenhang mit der Koordinierung der Systeme der sozialen Sicherheit den Gedanken vorgebracht, die Behörde, die sich in größerer räumlicher Nähe zur betroffenen Person befindet, als zentrale Anlaufstelle fungieren zu lassen. Der EDSB ersucht deshalb die Kommission, den eingeschlagenen Weg weiterzuverfolgen und neben dem Online-Zugang solche Instrumente der Kommunikationstechnologie zu fördern, die es den Bürgern ermöglichen, besser darüber im Bilde zu sein, welche sie betreffenden personenbezogenen Daten wo gespeichert sind, insbesondere, wenn sie von einem Mitgliedstaat in einen anderen umziehen.

42.

Der EDSB befürwortet den Vorschlag zur Einführung des elektronischen Rechtsverkehrs und empfiehlt, dass den nachstehenden in dieser Stellungnahme vorgebrachten Bemerkungen Rechnung getragen wird:

6.6.2009   

DE

Amtsblatt der Europäischen Union

C 128/20

1.

Die Kommission hat am 2. Juli 2008 einen Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (nachstehend „Vorschlag“ genannt) verabschiedet (1). Dieser Vorschlag wurde dem Europäischen Datenschutzbeauftragten (EDSB) von der Kommission zwecks Konsultation gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 übermittelt.

2.

Mit dem Vorschlag soll ein klarer und transparenter Gemeinschaftsrahmen für die grenzüberschreitende Gesundheitsversorgung innerhalb der EU für all die Fälle geschaffen werden, in denen die Behandlung, die ein Patient benötigt, in einem anderen als seinem Heimatmitgliedstaat zur Verfügung steht. Dieser Rahmen gliedert sich in drei Hauptbereiche:

3.

Dieser Rahmen dient zwei Zielen: zum einen soll er für ausreichende Klarheit über den Anspruch auf Kostenerstattung für die in einem anderen Mitgliedstaat erbrachten Gesundheitsleistungen sorgen und zum anderen soll er gewährleisten, dass die erforderlichen Voraussetzungen für eine hochwertige, sichere und effiziente Gesundheitsversorgung bei grenzüberschreitenden Leistungen gegeben sind.

4.

Die Umsetzung eines Systems der grenzüberschreitenden Gesundheitsversorgung erfordert den Austausch relevanter personenbezogener Daten über die Gesundheit der Patienten (nachstehend „Gesundheitsdaten“ genannt) zwischen den befugten Einrichtungen und Fachkräften des Gesundheitswesens der verschiedenen Mitgliedstaaten. Diese Daten gelten als sensibel und fallen unter die strengeren Datenschutzvorschriften nach Artikel 8 der Richtlinie 95/46/EG betreffend besondere Kategorien personenbezogener Daten.

5.

Der EDSB begrüßt, dass er im Einklang mit Artikel 28 der Verordnung (EG) Nr. 45/2001 zu dieser Frage konsultiert wird und dass im Einleitungsteil des Vorschlags auf diese Konsultation hingewiesen wird.

6.

Zum ersten Mal erfolgt eine förmliche Konsultation des EDSB zu einem Richtlinienvorschlag im Bereich des Gesundheitswesens. Daher sind einige der in dieser Stellungnahme enthaltenen Bemerkungen von größerer Tragweite und betreffen allgemeine Fragen des Schutzes personenbezogener Daten im Gesundheitswesen, die auch für andere einschlägige (verbindliche und unverbindliche) Rechtsakte gelten können.

7.

Der EDSB möchte zunächst seine Unterstützung für die Initiativen zur Verbesserung der Bedingungen für die grenzüberschreitende Gesundheitsversorgung zum Ausdruck bringen. Tatsächlich sollte dieser Vorschlag im Kontext des Gesamtprogramms der Gemeinschaft zur Verbesserung der Gesundheit der Bürger in der Informationsgesellschaft betrachtet werden. Weitere Initiativen in diesem Zusammenhang sind die von der Kommission geplante Richtlinie und die Mitteilung zur Spende und Transplantation menschlicher Organe (2), die Empfehlung zur Interoperabilität elektronischer Patientendateien (3) sowie die geplante Mitteilung zur Telemedizin (4). Der EDSB ist jedoch besorgt darüber, dass alle diese verwandten Initiativen im Bereich des Schutzes der Privatsphäre und der Datensicherheit nicht eng miteinander verbunden und/oder verknüpft sind, was die Annahme eines einheitlichen Datenschutzkonzepts für das Gesundheitswesen besonders in Bezug auf die Nutzung neuer Informations- und Kommunikationstechnologien erschwert. So wird zum Beispiel in Erwägungsgrund 10 des Richtlinienvorschlags die Telemedizin ausdrücklich genannt, aber nicht auf den Datenschutzaspekt der entsprechenden Kommissionsmitteilung verwiesen. Außerdem wird, obwohl elektronische Patientendateien ein möglicher Weg für die grenzüberschreitende Übermittlung von Gesundheitsdaten sind, keine Verbindung zu den in der einschlägigen Empfehlung der Kommission behandelten Fragen des Datenschutzes hergestellt (5). Dadurch entsteht der Eindruck, dass eine Gesamtperspektive für den Datenschutz im Gesundheitswesen noch immer nicht klar definiert ist und in einigen Fällen völlig fehlt.

8.

Dies wird auch in dem neuen Vorschlag deutlich, für den der EDSB mit Bedauern feststellt, dass Datenschutzaspekte nicht konkret angesprochen werden. Natürlich lassen sich Verweise auf den Datenschutz finden, aber diese sind hauptsächlich allgemeiner Natur und bringen die speziellen Bedürfnisse und Anforderungen hinsichtlich des Schutzes der Privatsphäre bei der grenzüberschreitenden Gesundheitsversorgung nicht angemessen zum Ausdruck.

9.

Der EDSB möchte betonen, dass ein einheitlicher und solider Ansatz für den Datenschutz in allen vorgeschlagenen Rechtsakten im Bereich des Gesundheitswesens nicht nur das Grundrecht der Bürger auf den Schutz ihrer Daten gewährleisten, sondern auch zur weiteren Entwicklung der grenzüberschreitenden Gesundheitsversorgung in der EU beitragen wird.

10.

Das markanteste Ziel der Europäischen Gemeinschaft war die Schaffung eines Binnenmarkts, d.h. eines Gebiets ohne Binnengrenzen, in dem der freie Verkehr von Waren, Dienstleistungen und Kapital sowie die Freizügigkeit von Personen gewährleistet sind. Dass es für die Bürger leichter wurde, in andere Mitgliedstaaten zu reisen und dort zu leben, hat natürlich Fragen bezüglich der Gesundheitsversorgung aufgeworfen. Aus diesem Grund hatte sich der Gerichtshof bereits in den 1990er Jahren im Rahmen des Binnenmarkts mit Fragen der möglichen Erstattung von in einem anderen Mitgliedstaat entstandenen medizinischen Ausgaben zu befassen. Er hat anerkannt, dass die freie Dienstleistungserbringung nach Artikel 49 EG-Vertrag die Freiheit für Personen einschließt, sich zwecks medizinischer Behandlung in einen anderen Mitgliedstaaten zu begeben (6). Infolgedessen konnten Patienten, die grenzüberschreitende Gesundheitsleistungen in Anspruch nehmen wollten, nicht länger anders behandelt werden als Staatsangehörige ihres Heimatlandes, die im Inland die gleiche medizinische Behandlung erhielten.

11.

Diese Urteile des Gerichtshofs stehen im Mittelpunkt des vorliegenden Vorschlags. Da die Rechtsprechung des Gerichtshofs auf einzelnen Rechtssachen beruht, soll mit diesem Vorschlag für mehr Klarheit gesorgt werden, um eine umfassendere und wirksamere Anwendung der Freiheit, Gesundheitsleistungen in Anspruch zu nehmen und zu erbringen, zu gewährleisten. Wie bereits erwähnt, ist dieser Vorschlag jedoch auch Teil eines ehrgeizigeren Programms mit dem Ziel, die Gesundheit der Bürger in der Informationsgesellschaft zu verbessern, wo die EU ein großes Potenzial für den Ausbau der grenzüberschreitenden Gesundheitsversorgung durch die Nutzung der Informationstechnologie sieht.

12.

Aus nahe liegenden Gründen ist die Festlegung von Regeln für die grenzüberschreitende Gesundheitsversorgung eine heikle Angelegenheit. Sie berührt einen sensiblen Bereich, in dem die Mitgliedstaaten unterschiedliche nationale Systeme errichtet haben, beispielsweise in Bezug auf die Versicherung und die Kostenerstattung oder den Aufbau der Infrastruktur im Gesundheitswesen, einschließlich der diesbezüglichen Informationsnetze und -anwendungen. Wenngleich sich der Gemeinschaftsgesetzgeber in dem vorliegenden Vorschlag nur auf die grenzüberschreitende Gesundheitsversorgung konzentriert, werden die Vorschriften zumindest Einfluss darauf haben, wie die nationalen Gesundheitssysteme organisiert werden.

13.

Eine Verbesserung der Bedingungen für die grenzüberschreitende Gesundheitsversorgung wird den Bürgern zugute kommen. Gleichzeitig birgt sie aber auch einige Risiken für die Bürger. Es müssen viele praktische Probleme gelöst werden, die charakteristisch für die grenzüberschreitende Zusammenarbeit zwischen Menschen aus verschiedenen Ländern mit unterschiedlichen Sprachen sind. Da eine gute Gesundheit für jeden Bürger von größter Bedeutung ist, sollte jede Gefahr einer Fehlkommunikation und daraus folgender Ungenauigkeit ausgeschlossen werden. Es versteht sich von selbst, dass der Ausbau der grenzüberschreitenden Gesundheitsversorgung, verbunden mit der Nutzung informationstechnologischer Entwicklungen, große Auswirkungen auf den Schutz personenbezogener Daten hat. Ein effizienterer und daher zunehmender Austausch von Gesundheitsdaten, die immer größere Entfernung zwischen den betroffenen Personen und Instanzen und die unterschiedlichen einzelstaatlichen Gesetze zur Umsetzung der Datenschutzvorschriften werfen Fragen der Daten- und Rechtssicherheit auf.

14.

Es ist hervorzuheben, dass Gesundheitsdaten als eine besondere Datenkategorie gelten, die eines höheren Schutzes bedarf. Der Europäische Gerichtshof für Menschenrechte hat vor kurzem im Zusammenhang mit Artikel 8 der Europäischen Menschenrechtskonvention erklärt, dass der Schutz personenbezogener Daten, insbesondere medizinischer Daten, von grundlegender Bedeutung für die Ausübung des durch Artikel 8 der Konvention garantierten Rechts auf Achtung des Privat- und Familienlebens ist (7). Bevor die in der Richtlinie 95/46/EG festgelegten strengeren Vorschriften für die Verarbeitung von Gesundheitsdaten erläutert werden, seien noch einige Worte zu dem Begriff „Gesundheitsdaten“ gesagt.

15.

Die Richtlinie 95/46/EG enthält keine ausdrückliche Definition des Begriffs „Gesundheitsdaten“. Gemeinhin gilt eine weite Auslegung, wonach Gesundheitsdaten oft als persönliche Daten definiert werden, die eine eindeutige und enge Verbindung zu der Beschreibung des Gesundheitszustands einer Person haben (8). Dabei umfassen Gesundheitsdaten in der Regel medizinische Daten (z. B. ärztliche Überweisungen und Verschreibungen, medizinische Untersuchungsberichte, Labortests, Röntgenbilder usw.) wie auch gesundheitsbezogene Verwaltungs- und Finanzdaten (z. B. Dokumente über Krankenhauseinweisungen, Sozialversicherungsnummer, medizinische Termine, Rechnungen für erbrachte Gesundheitsleistungen usw.). Es sei angemerkt, dass für gesundheitsbezogene Daten mitunter auch die Begriffe „medizinische Daten“ (9) und „Daten über die Gesundheitsversorgung“ (10) verwendet werden. In dieser Stellungnahme wird der Begriff „Gesundheitsdaten“ verwendet.

16.

Die Norm ISO 27799 enthält eine nützliche Definition des Begriffs „Gesundheitsdaten“: sämtliche Informationen, die sich auf die physische und psychische Gesundheit einer Person oder auf die Erbringung einer Gesundheitsleistung für die Person beziehen; hierzu zählen: a) Informationen über die Registrierung der Person im Hinblick auf die Bereitstellung von Gesundheitsleistungen; b) Informationen über Zahlungen für Gesundheitsleistungen oder die diesbezügliche Anspruchsberechtigung der Person; c) eine Zahl, ein Symbol oder ein Detail, die/das einer Person zuerkannt wird und allein der Identifizierung dieser Person für Gesundheitszwecke dient; d) sämtliche Informationen über die Person, die bei der Erbringung von Gesundheitsleistungen an sie gesammelt werden; e) Informationen, die bei der Prüfung oder Untersuchung von Körperteilen oder körpereigenem Material gewonnen werden; und f) Benennung einer Person (Gesundheitsfachkraft) als Erbringer der Gesundheitsleistung für die Person.

17.

Der EDSB befürwortet nachdrücklich die Annahme einer speziellen Definition des Begriffs „Gesundheitsdaten“ im Rahmen des vorliegenden Vorschlags, die in Zukunft auch in anderen einschlägigen EG-Rechtstexten verwendet werden könnte (siehe Abschnitt III).

18.

In Artikel 8 der Richtlinie 95/46/EG sind die Regeln für die Verarbeitung besonderer Datenkategorien festgelegt. Diese sind strenger als die Regeln für die Verarbeitung anderer Daten, die in Artikel 7 der Richtlinie 95/46/EG festgelegt sind. Das zeigt sich bereits in Artikel 8 Absatz 1, in dem es ausdrücklich heißt, dass die Mitgliedstaaten die Verarbeitung u. a. von Daten über die Gesundheit untersagen. Die folgenden Absätze des Artikels enthalten verschiedene Ausnahmen von diesem Verbot, die jedoch enger gefasst sind als die in Artikel 7 angegebenen Gründe für die Verarbeitung normaler Daten. So gilt dieses Verbot beispielsweise nicht, wenn die betroffene Person ausdrücklich in die Verarbeitung der Daten eingewilligt hat (Artikel 8 Absatz 2 Buchstabe a), während Artikel 7 Buchstabe a der Richtlinie 95/46/EG eine Einwilligung ohne jeden Zweifel vorsieht. Außerdem kann das Recht eines Mitgliedstaats vorschreiben, dass in bestimmten Fällen das Verbot selbst mit Zustimmung der betroffenen Person nicht aufgehoben werden kann. Artikel 8 Absatz 3 ist ausschließlich der Verarbeitung von gesundheitsbezogenen Daten gewidmet. Nach diesem Absatz gilt das Verbot aus Absatz nicht, wenn die Verarbeitung zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal erfolgt, das nach dem einzelstaatlichen Recht, einschließlich der von den zuständigen einzelstaatlichen Stellen erlassenen Regelungen, dem Berufsgeheimnis unterliegt, oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen.

19.

In Artikel 8 der Richtlinie 95/46/EG wird großer Nachdruck darauf gelegt, dass die Mitgliedstaaten für geeignete oder angemessene Garantien sorgen sollten. So gestattet beispielsweise Artikel 8 Absatz 4 den Mitgliedstaaten, aus Gründen eines wichtigen öffentlichen Interesses weitere Ausnahmen vom Verbot der Verarbeitung sensibler Daten — vorbehaltlich angemessener Garantien — vorzusehen. Damit wird allgemein die Verantwortung der Mitgliedstaaten hervorgehoben, besondere Sorgfalt auf die Verarbeitung sensibler Daten, wie z. B. gesundheitsbezogener Daten, zu verwenden.

20.

Mitgliedstaaten sollten sich der eben genannten Verantwortung besonders bewusst sein, wenn Fragen des grenzüberschreitenden Austauschs von Gesundheitsdaten zu behandeln sind. Wie bereits dargelegt, erhöht sich beim grenzüberschreitenden Austausch von Gesundheitsdaten die Gefahr einer fehlerhaften oder unrechtmäßigen Verarbeitung der Daten. Das kann offensichtlich erhebliche negative Folgen für die betroffene Person haben. Sowohl der Versicherungsmitgliedstaat (in dem der Patient versichert ist) als auch der Behandlungsmitgliedstaat (in dem die grenzüberschreitende Gesundheitsleistung tatsächlich erbracht wird) sind an diesem Prozess beteiligt und teilen sich daher die Verantwortung.

21.

In diesem Zusammenhang ist die Sicherheit der Gesundheitsdaten ein wichtiges Thema. In dem oben genannten aktuellen Fall hat der Europäische Gerichtshof für Menschenrechte der Vertraulichkeit von Gesundheitsdaten besonderes Gewicht beigemessen, indem er erklärte, dass die Achtung der Vertraulichkeit ein zentraler Grundsatz der Rechtsordnungen aller Vertragsparteien der Konvention sei. Es sei äußerst wichtig, nicht nur die Privatsphäre eines Patienten zu achten, sondern auch sein Vertrauen in den medizinischen Berufsstand und in die Gesundheitsdienste im Allgemeinen zu bewahren (11).

22.

Die Datenschutzvorschriften nach der Richtlinie 95/46/EG erfordern ferner, dass der Versicherungsmitgliedstaat dem Patienten angemessene, richtige und aktuelle Informationen bezüglich der Übermittlung seiner personenbezogenen Daten an einen anderen Mitgliedstaat erteilt und gleichzeitig die sichere Übermittlung der Daten an diesen Mitgliedstaat gewährleistet. Der Behandlungsmitgliedstaat sollte auch den sicheren Empfang dieser Daten gewährleisten und für ein angemessenes Schutzniveau gemäß seinem nationalen Datenschutzrecht sorgen, wenn die Daten tatsächlich verarbeitet werden.

23.

Der EDSB spricht sich dafür aus, dass die geteilten Zuständigkeiten der Mitgliedstaaten in dem Vorschlag präzisiert werden, wobei auch die elektronische Datenübermittlung, besonders im Rahmen neuer IKT-Anwendungen, zu berücksichtigen ist; diese wird nachstehend behandelt.

24.

Die Verbesserung des grenzüberschreitenden Austauschs von Gesundheitsdaten erfolgt hauptsächlich durch den Einsatz von Informationstechnologie. Wenngleich der Datenaustausch in einem System der grenzüberschreitenden Gesundheitsversorgung noch auf Papier erfolgen kann (z. B. wenn der Patient in einen anderen Mitgliedstaat reist und alle seine relevanten Gesundheitsdaten wie Laboruntersuchungen, ärztliche Überweisungen usw. mit sich führt), wird doch eindeutig angestrebt, stattdessen elektronische Mittel zu verwenden. Die elektronische Übermittlung von Gesundheitsdaten wird durch in den Mitgliedstaaten bestehende (oder zu schaffende) Informationssysteme des Gesundheitswesens (in Krankenhäusern, Kliniken usw.) sowie durch den Einsatz neuer Technologien wie elektronische Patientendatenanwendungen (die möglicherweise über das Internet betrieben werden) und andere Instrumente wie Gesundheitskarten für Patienten und Ärzte unterstützt. In Abhängigkeit von den Gesundheitssystemen der Mitgliedstaaten können natürlich auch Mischformen des papiergestützten und elektronischen Austauschs genutzt werden.

25.

Gesundheitstelematische und telemedizinische Anwendungen, die in den Geltungsbereich der vorgeschlagenen Richtlinie fallen, werden ausschließlich vom Austausch elektronischer Gesundheitsdaten (z. B. Vitalzeichen, Bildmaterial usw.) abhängen und in der Regel mit anderen bestehenden elektronischen Gesundheitsinformationssystemen im Behandlungs- und Versicherungsmitgliedstaat verknüpft sein. Hierzu zählen sowohl Systeme auf der Basis der Arzt-Patient-Beziehung (z. B. Fernüberwachung und -diagnose) als auch Systeme zwischen Ärzten (z. B. Telekonsultation zwischen Gesundheitsfachkräften zwecks Fachberatung in speziellen medizinischen Fällen). Auch andere, spezifischere Gesundheitsanwendungen zur Unterstützung der allgemeinen grenzüberschreitenden Gesundheitsversorgung können allein auf dem elektronischen Datenaustausch beruhen, z. B. elektronische Verschreibungen (eRezept) oder elektronische ärztliche Überweisungen (eÜberweisung), die in einigen Mitgliedstaaten bereits auf nationaler Ebene angewandt werden (12).

26.

Unter Berücksichtigung der oben genannten Erwägungen sowie der Vielfalt der Gesundheitssysteme der Mitgliedstaaten und der zunehmenden Entwicklung von Gesundheitstelematikanwendungen ergeben sich hauptsächlich folgende zwei Problembereiche im Hinblick auf den Schutz personenbezogener Daten bei der grenzüberschreitenden Gesundheitsversorgung: a) das unterschiedliche Sicherheitsniveau, das von den Mitgliedstaaten für den Schutz personenbezogener Daten angewandt werden kann (in Bezug auf technische und organisatorische Maßnahmen) und b) die Integration des Schutzes der Privatsphäre in Gesundheitstelematikanwendungen, insbesondere in Neuentwicklungen. Außerdem erfordern möglicherweise andere Aspekte wie die Weiterverwendung von Gesundheitsdaten, speziell im Bereich der Erstellung von Statistiken, ebenfalls besondere Aufmerksamkeit. Diese Fragen werden in diesem Abschnitt nachstehend weiter analysiert.

27.

Obwohl die Richtlinien 95/46/EG und 2002/58/EG in Europa einheitlich angewandt werden, können sich die Auslegung und die Umsetzung bestimmter Elemente von einem Land zum anderen unterscheiden, insbesondere in Bereichen, in denen die rechtlichen Bestimmungen allgemeiner Art sind und im Ermessen der Mitgliedstaaten liegen. In diesem Sinne muss vor allem die Sicherheit der Verarbeitung betrachtet werden, d.h. die (technischen und organisatorischen) Maßnahmen, die von den Mitgliedstaaten ergriffen werden, um die Sicherheit der Gesundheitsdaten zu garantieren.

28.

Wenngleich der strenge Schutz der Gesundheitsdaten in die Verantwortung aller Mitgliedstaaten fällt, gibt es derzeit keine allgemein anerkannte Definition für ein „angemessenes“ Sicherheitsniveau für die Gesundheitsversorgung in der EU, die auf die grenzüberschreitende Gesundheitsversorgung angewandt werden könnte. So kann beispielsweise ein Krankenhaus in einem Mitgliedstaat aufgrund einzelstaatlicher Datenschutzvorschriften verpflichtet sein, spezielle Sicherheitsmaßnahmen zu treffen (wie die Festlegung einer Sicherheitsstrategie, von Verhaltenskodizes, besonderen Vorschriften für die Ausgliederung und die Inanspruchnahme externer Auftragnehmer, Prüfungsbestimmungen usw.), während dies in anderen Mitgliedstaaten vielleicht nicht der Fall ist. Diese Uneinheitlichkeit kann sich auf den grenzüberschreitenden Datenaustausch auswirken, vor allem wenn dieser elektronisch erfolgt, da nicht garantiert werden kann, dass die Sicherung der Daten (aus technischer und organisatorischer Sicht) in den verschiedenen Mitgliedstaaten auf dem gleichen Niveau erfolgt.

29.

Daher besteht auf diesem Gebiet Bedarf an einer weiteren Harmonisierung im Hinblick auf die Festlegung von gemeinsamen Sicherheitsanforderungen für das Gesundheitswesen, die von den Gesundheitsdienstleistern der Mitgliedstaaten allgemein angenommen werden sollten. Dieses Erfordernis steht in vollem Einklang mit der in dem Vorschlag dargelegten allgemeinen Notwendigkeit, gemeinsame Grundsätze für die Gesundheitssysteme der EU festzulegen.

30.

Diese sollten allgemein gehalten werden, ohne den Mitgliedstaaten spezielle technische Lösungen vorzugeben; jedoch sollten sie eine Grundlage für gegenseitige Anerkennung und Akzeptanz schaffen, z. B. im Hinblick auf die Festlegung der Sicherheitsstrategie, die Identifizierung und Authentifizierung von Patienten und Gesundheitsfachkräften usw.. Die bestehenden europäischen und internationalen Normen für die Gesundheitsversorgung und die Sicherheit (z. B. ISO und CEN) sowie allgemein anerkannte und rechtlich fundierte technische Konzepte (z. B. elektronische Unterschriften (13) könnten als Fahrplan für einen solchen Versuch dienen.

31.

Der EDSB unterstützt die Idee einer Harmonisierung der Sicherheit im Gesundheitswesen auf EU-Ebene und ist der Ansicht, dass die Kommission bereits im Rahmen dieses Vorschlags einschlägige Initiativen einleiten sollte (siehe Abschnitt III).

32.

Der Schutz der Privatsphäre und die Sicherheit sollten Teil der Gestaltung und Umsetzung eines jeden Gesundheitssystems und insbesondere von Gesundheitstelematikanwendungen entsprechend diesem Vorschlag sein („eingebauter Datenschutz“ — „privacy by design“). Diese unstrittige Forderung wurde bereits in anderen einschlägigen Strategiepapieren — sowohl allgemeiner Art (14) als auch speziell das Gesundheitswesen betreffend (15) — unterstützt.

33.

Im Rahmen der im Vorschlag erörterten Interoperabilität elektronischer Gesundheitsdienste sollte noch einmal der Begriff „eingebauter Datenschutz“ als Grundlage für alle geplanten Entwicklungen hervorgehoben werden. Dieser Begriff gilt für verschiedene Ebenen, nämlich für die organisatorische, die semantische und die technische Ebene.

34.

Nach Ansicht des EDSB könnte der Bereich der elektronischen Verschreibungen als Ausgangspunkt für die Integration von Datenschutz- und Sicherheitsanforderungen in der Anlaufphase der Entwicklung dienen (siehe Abschnitt III).

35.

Ein weiterer Aspekt, der im Rahmen des grenzüberschreitenden Austauschs von Gesundheitsdaten betrachtet werden könnte, ist die Weiterverwendung von Gesundheitsdaten, insbesondere ihre Verwendung für statistische Zwecke, wie in dem vorliegenden Vorschlag bereits dargelegt wird.

36.

Wie bereits unter Nummer 18 erwähnt, ist in Artikel 8 Absatz 4 der Richtlinie 95/46/EG die Möglichkeit der Weiterverwendung von Gesundheitsdaten vorgesehen. Diese Weiterverarbeitung sollte jedoch nur aus Gründen eines „wichtigen öffentlichen Interesses“ erfolgen und es müssen „angemessene Garantien“ im Wege einer nationalen Rechtsvorschrift oder einer Entscheidung der Kontrollstelle gegeben werden (16). Wie auch in der Stellungnahme des EDSB zu dem Vorschlag für eine Verordnung zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz (17) ausgeführt wird, ergibt sich bei der Verarbeitung statistischer Daten ein zusätzliches Risiko aus der unterschiedlichen Bedeutung, die die Begriffe „Vertraulichkeit“ und „Datenschutz“ bei der Anwendung der Rechtsvorschriften zum Datenschutz einerseits und der Rechtsvorschriften für die Statistik andererseits haben können.

37.

Der EDSB möchte die oben genannten Elemente im Zusammenhang mit diesem Vorschlag unterstreichen. Es sollte eine ausdrücklichere Bezugnahme auf die Datenschutzerfordernisse bei der Weiterverwendung von Gesundheitsdaten erfolgen (siehe Abschnitt III).

38.

In verschiedenen Teilen des Vorschlags finden sich Verweise auf den Datenschutz und den Schutz der Privatsphäre:

39.

Der EDSB begrüßt, dass der Datenschutz bei der Ausarbeitung des Vorschlags berücksichtigt wurde und dass versucht wurde, den allgemeinen Bedarf an Schutz der Privatsphäre im Rahmen der grenzüberschreitenden Gesundheitsversorgung aufzuzeigen. Die in dem Vorschlag enthaltenen Bestimmungen zum Datenschutz sind jedoch entweder zu allgemein oder verweisen eher selektiv und vereinzelt auf die Zuständigkeiten der Mitgliedstaaten:

Wie bereits in der Einleitung dieser Stellungnahme erwähnt, fehlt es außerdem an einer Verknüpfung mit Aspekten des Schutzes der Privatsphäre und/oder an einem Verweis auf derartige Aspekte, die in anderen (verbindlichen oder unverbindlichen) EG-Rechtsakten im Bereich des Gesundheitswesens behandelt werden, insbesondere in Bezug auf die Nutzung neuer IKT-Anwendungen (wie Telemedizin oder elektronische Patientenakten).

40.

Wenngleich der Schutz der Privatsphäre generell als ein Erfordernis der grenzüberschreitenden Gesundheitsversorgung genannt wird, fehlt somit nach wie vor ein Gesamtüberblick sowohl über die Verpflichtungen der Mitgliedstaaten als auch über die Besonderheiten aufgrund des grenzüberschreitenden Charakters der Bereitstellung von Gesundheitsleistungen (im Gegensatz zu der einzelstaatlichen Bereitstellung von Gesundheitsleistungen). Insbesondere

41.

Darüber hinaus gibt Artikel 18, in dem die Datensammlung für Statistik und Überwachung behandelt wird, Anlass zu einigen spezifischen Bedenken. Absatz 1 bezieht sich auf „statistische und andere, ergänzende Daten“; er verweist ferner im Plural auf „Überwachungszwecke“ und enthält eine Aufstellung der Bereiche, für die diese Überwachungszwecke gelten, namentlich die grenzüberschreitende Gesundheitsversorgung, Behandlungen, Dienstleister und Patienten, Kosten und Ergebnisse. In diesem bereits relativ unklaren Kontext erfolgt ein allgemeiner Verweis auf das Datenschutzrecht, es werden aber keine besonderen Anforderungen an die Weiterverwendung von Gesundheitsdaten gemäß Artikel 8 Absatz 4 der Richtlinie 95/46/EG genannt. Außerdem enthält Absatz 2 die unbedingte Verpflichtung, mindestens einmal pro Jahr diese große Datenmenge an die Kommission zu übermitteln. Da kein ausdrücklicher Verweis auf eine Bewertung der Notwendigkeit dieser Übermittlung erfolgt, hat anscheinend der Gemeinschaftsgesetzgeber selbst bereits die Notwendigkeit dieser Übermittlung an die Kommission festgelegt.

42.

Damit die oben genannten Aspekte angemessen behandelt werden können, gibt der EDSB eine Reihe von Empfehlungen in Form der nachstehenden fünf grundlegenden Schritte.

43.

In Artikel 4 werden die in dem Vorschlag verwendeten Grundbegriffe definiert. Der EDSB empfiehlt nachdrücklich, eine Definition der Gesundheitsdaten in diesen Artikel aufzunehmen. Dabei sollte eine weite Auslegung der Gesundheitsdaten angewandt werden, wie sie in Abschnitt II dieser Stellungnahme (Nummern 14 und 15) beschrieben ist.

44.

Ferner empfiehlt der EDSB nachdrücklich, in den Vorschlag einen speziellen Artikel zum Datenschutz aufzunehmen, in dem die allgemeine Dimension des Schutzes der Privatsphäre klar und verständlich dargelegt werden könnte. Dieser Artikel sollte a) die Zuständigkeiten des Versicherungs- und des Behandlungsmitgliedstaats, darunter die Notwendigkeit der Sicherheit der Verarbeitung, beschreiben und b) die wichtigsten Bereiche für die weitere Entwicklung bestimmen, d.h. Sicherheitsharmonisierung und Integration des Schutzes der Privatsphäre in die Gesundheitstelematik. Für diese Bereiche können (in dem vorgeschlagenen Artikel) spezielle Bestimmungen vorgesehen werden, wie sie nachstehend in den Schritten 3 und 4 dargelegt sind.

45.

Der EDSB empfiehlt, dass die Kommission im Anschluss an die in Schritt 2 genannte Änderung einen Mechanismus für die Festlegung eines allgemein annehmbaren Sicherheitsniveaus für Gesundheitsdaten auf nationaler Ebene annimmt und dabei den in diesem Bereich bestehenden technischen Normen Rechnung trägt. Dies sollte in dem Vorschlag zum Ausdruck kommen. Zur Umsetzung könnte das Ausschussverfahren genutzt werden, das in Artikel 19 bereits festgelegt ist und das auch für andere Teile des Vorschlags gilt. Ferner könnten für die Ausarbeitung einschlägiger Leitlinien weitere Instrumente unter Einbindung aller betroffenen Interessenträger wie der Datenschutzgruppe „Artikel 29“ und des EDSB genutzt werden.

46.

In Artikel 14 (Anerkennung von in einem anderen Mitgliedstaat ausgestellten Verschreibungen) ist vorgesehen, ein Verschreibungsmuster der Gemeinschaft auszuarbeiten und die Interoperabilität elektronischer Verschreibungen zu unterstützen. Diese Maßnahme ist nach dem Ausschussverfahren gemäß Artikel 19 Absatz 2 des Vorschlags anzunehmen.

47.

Der EDSB empfiehlt, Datenschutz und Sicherheit in dem vorgeschlagenen Muster für elektronische Verschreibungen zu berücksichtigen, und zwar bereits bei der grundlegenden semantischen Festlegung dieses Musters. Dies sollte in Artikel 14 Absatz 2 Buchstabe a ausdrücklich erwähnt werden. Auch hier ist die Einbeziehung aller einschlägigen Interessenträger von größter Wichtigkeit. In diesem Zusammenhang möchte der EDSB über weitere diesbezügliche Maßnahmen, die im Rahmen des vorgeschlagenen Ausschussverfahrens eingeleitet werden, informiert und an ihnen beteiligt werden.

48.

Um Missverständnissen vorzubeugen, rät der EDSB, den Begriff „andere, ergänzende Daten“ in Artikel 18 Absatz 1 zu präzisieren. Außerdem sollte der Artikel dahin gehend geändert werden, dass ausdrücklicher auf die Anforderungen für die Weiterverwendung von Gesundheitsdaten nach Artikel 8 Absatz 4 der Richtlinie 95/46/EG verwiesen wird. Darüber hinaus sollte die in Absatz 2 enthaltene Pflicht zur Übermittlung aller Daten an die Kommission unbedingt hinsichtlich der Notwendigkeit dieser Übermittlung für rechtmäßige Zwecke, die im Voraus hinreichend zu präzisieren sind, beurteilt werden.

49.

Der EDSB möchte seine Unterstützung für die Initiativen zur Verbesserung der Bedingungen für die grenzüberschreitende Gesundheitsversorgung zum Ausdruck bringen. Er äußert jedoch Bedenken darüber, dass die Initiativen der Kommission im Bereich des Gesundheitswesens im Hinblick auf IKT-Nutzung, Schutz der Privatsphäre und Sicherheit nicht immer gut koordiniert sind und dadurch die Annahme eines universellen Datenschutzkonzepts für das Gesundheitswesen behindern.

50.

Der EDSB begrüßt, dass in dem vorliegenden Vorschlag auf den Schutz der Privatsphäre verwiesen wird. Wie in Abschnitt III dieser Stellungnahme erläutert, sind jedoch einige Änderungen erforderlich, um klare Anforderungen sowohl an die Behandlungs- als auch an die Versicherungsmitgliedstaaten zu stellen und den Datenschutzaspekt der grenzüberschreitenden Gesundheitsversorgung ordnungsgemäß zu behandeln:

6.6.2009   

DE

Amtsblatt der Europäischen Union

C 128/28

1.

Die Kommission hat am 13. November 2007 einen Vorschlag zur Änderung unter anderem der Richtlinie 2002/58/EG über den Schutz der Privatsphäre und elektronische Kommunikation – üblicherweise als Datenschutzrichtlinie für elektronische Kommunikation (1) bezeichnet – (nachstehend „Vorschlag“ oder „Kommissionsvorschlag“ genannt) unterbreitet. Der Europäische Datenschutzbeauftragte (EDSB) hat am 10. April 2008 eine Stellungnahme zu dem Kommissionsvorschlag („erste Stellungnahme des EDSB“) (2) angenommen, in der er Empfehlungen für die Verbesserung des Vorschlags gibt, um so dazu beizutragen, dass mit den vorgeschlagenen Änderungen der bestmögliche Schutz der Privatsphäre und der personenbezogenen Daten der Bürger erreicht wird.

2.

Der EDSB hat die von der Kommission vorgeschlagene Einrichtung eines obligatorischen Systems zur Benachrichtigung bei Sicherheitsverletzungen begrüßt, in dessen Rahmen die Unternehmen verpflichtet wären, die Bürger im Falle einer Kompromittierung ihrer personenbezogenen Daten zu benachrichtigen. Außerdem würdigte er die neue Bestimmung, die juristischen Personen (z. B. Verbraucherverbänden und Internet-Diensteanbietern) rechtliche Schritte gegen die Versender unerbetener Werbung (Spam) ermöglicht, als weitere Ergänzung der bestehenden Instrumente zur Bekämpfung von Spam.

3.

Während der parlamentarischen Aussprachen im Vorfeld der ersten Lesung des Europäischen Parlaments hat der EDSB weitere Beratung in Form von Kommentaren zu ausgewählten Fragen erteilt, die sich aus den Berichten der für die Prüfung der Universaldienstrichtlinie (3) und der Datenschutzrichtlinie für elektronische Kommunikation zuständigen Ausschüsse des Europäischen Parlaments ergeben hatten („Kommentare“) (4). In den Kommentaren wurden in erster Linie Fragen der Verarbeitung von Verkehrsdaten und des Schutzes der Rechte des geistigen Eigentums behandelt.

4.

Am 24. September 2008 hat das Europäische Parlament („EP“) eine legislative Entschließung zu der Datenschutzrichtlinie für elektronische Kommunikation angenommen („erste Lesung“) (5). Der EDSB hat mehrere der Abänderungen, die das EP ausgehend von den obengenannten Stellungnahmen und Kommentaren angenommenen hatte, positiv bewertet. Zu den bedeutendsten Änderungen zählt, dass die Meldepflicht bei Sicherheitsverletzungen auf die Betreiber von Diensten der Informationsgesellschaft (d.h. Unternehmen, die Internetdienste anbieten) ausgedehnt wurde. Der EDSB hat auch die Abänderung begrüßt, die es juristischen und natürlichen Personen ermöglicht, gegen Verstöße gegen gleich welche Bestimmung der Datenschutzrichtlinie für elektronische Kommunikation gerichtlich vorzugehen (und nicht nur gegen Verstöße gegen die Spam-Bestimmungen, wie es ursprünglich im Kommissionsvorschlag vorgesehen war). Im Anschluss an die erste Lesung im Parlament hat die Kommission einen geänderten Vorschlag zu der Datenschutzrichtlinie für elektronische Kommunikation (nachstehend „geänderter Vorschlag“ genannt) (6) angenommen.

5.

Am 27. November 2008 hat der Rat eine politische Einigung über die Überprüfung der Vorschriften des Telekommunikationspakets einschließlich der Datenschutzrichtlinie für elektronische Kommunikation erzielt, die im Gemeinsamen Standpunkt des Rates („Gemeinsamer Standpunkt“) (7) Ausdruck findet. Der Gemeinsame Standpunkt wird dem EP nach Artikel 251 Absatz 2 des Vertrags zur Gründung der Europäischen Gemeinschaft übermittelt, woraufhin das EP Abänderungen vorschlagen kann.

6.

Der Rat hat den Text des Vorschlags in wesentlichen Teilen geändert und viele der vom EP angenommenen Abänderungen nicht akzeptiert. Wenngleich der Gemeinsame Standpunkt sicherlich positive Elemente enthält, ist der EDSB insgesamt besorgt über dessen Inhalt, vor allem weil in dem Gemeinsamen Standpunkt einige der positiven Abänderungen fehlen, die vom EP und in dem geänderten Vorschlag oder in den über die Datenschutzgruppe „Artikel 29“ veröffentlichten Stellungnahmen des EDSB und der Europäischen Datenschutzbehörden (8) vorgeschlagen worden waren.

7.

Im Gegenteil wurden in nicht wenigen Fällen die in dem geänderten Vorschlag oder in den Abänderungen des EP enthaltenen Bestimmungen, die den Bürgern Garantien boten, gestrichen oder deutlich abgeschwächt. Im Ergebnis bietet der Gemeinsame Standpunkt ein deutlich geringeres Schutzniveau für die Bürger. Daher gibt der EDSB nunmehr eine zweite Stellungnahme ab in der Hoffnung, dass im weiteren Verlauf des Gesetzgebungsverfahrens für die Datenschutzrichtlinie für elektronische Kommunikation neue Änderungen angenommen werden, durch die die Datenschutzgarantien wiederhergestellt werden.

8.

Der EDSB konzentriert sich in dieser zweiten Stellungnahme auf einige wesentliche Bedenken und greift nicht alle Punkte erneut auf, die in seiner ersten Stellungnahme oder in den Kommentaren behandelt wurden; diese behalten alle ihre Gültigkeit. In der vorliegenden Stellungnahme werden insbesondere die folgenden Punkte behandelt:

9.

Zur Klärung der obengenannten Punkte wird in dieser Stellungnahme der Gemeinsame Standpunkt des Rates analysiert und mit den Ergebnissen der ersten Lesung des EP sowie mit dem geänderten Kommissionsvorschlag verglichen. Die Stellungnahme enthält Empfehlungen, um die Bestimmungen der Datenschutzrichtlinie für elektronische Kommunikation zu straffen und dafür zu sorgen, dass die Richtlinie weiterhin einen angemessenen Schutz der Privatsphäre und der personenbezogenen Daten natürlicher Personen gewährleistet.

10.

Der EDSB unterstützt die Annahme einer Regelung zur Benachrichtigung bei Sicherheitsverletzungen, in deren Rahmen die Behörden und die betreffenden Personen benachrichtigt werden, wenn personenbezogene Daten kompromittiert (9) wurden. Die Benachrichtigung über Sicherheitsverletzungen kann den Bürgern helfen, die notwendigen Schritte zu unternehmen, um etwaigen Schaden infolge dieser Kompromittierung zu mindern. Außerdem wird die Verpflichtung zur Benachrichtigung bei Sicherheitsverletzungen die Unternehmen veranlassen, die Datensicherheit zu verbessern, und ihre Verantwortlichkeit für die ihnen anvertrauten personenbezogenen Daten verstärken.

11.

Der geänderte Kommissionsvorschlag, die erste Lesung des Parlaments und der Gemeinsame Standpunkt des Rates verkörpern drei unterschiedliche Konzepte für die Benachrichtigung bei Sicherheitsverletzungen, die derzeit geprüft werden. Jedes der drei Konzepte weist positive Aspekte auf. Nach Auffassung des EDSB bieten aber alle Konzepte Raum für Verbesserungen; er rät daher, bei der Prüfung der abschließenden Schritte vor der Annahme einer Regelung für die Benachrichtigung bei Sicherheitsverletzungen die nachstehenden Empfehlungen zu berücksichtigen.

12.

Bei der Analyse der drei Regelungen für die Benachrichtigung bei Sicherheitsverletzungen sind fünf wesentliche Punkte zu berücksichtigen; (i) die Definition von Sicherheitsverletzungen; (ii) die Einrichtungen, die der Meldepflicht unterliegen („betroffene Einrichtungen“); (iii) der Standard, der die Meldepflicht auslöst; (iv) die Bestimmung der Stelle, die zu entscheiden hat, ob eine Sicherheitsverletzung dem Standard entspricht oder nicht; (v) die Empfänger der Benachrichtigung.

13.

Das Europäische Parlament, die Kommission und der Rat haben jeweils unterschiedliche Konzepte für die Benachrichtigung bei Sicherheitsverletzungen angenommen. Das EP hat in erster Lesung die im Kommissionsvorschlag enthaltene ursprüngliche Regelung für die Benachrichtigung bei Sicherheitsverletzungen geändert (10). Nach dem Konzept des EP gilt die Meldepflicht nicht nur für die Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste, sondern auch für die Betreiber von Diensten der Informationsgesellschaft. Außerdem wären nach diesem Konzept alle Verletzungen personenbezogener Daten an die nationale Regulierungsbehörde oder die zuständigen Behörden (insgesamt nachstehend „Behörden“ genannt) zu melden. Sollten die Behörden entscheiden, dass es sich um eine schwerwiegende Sicherheitsverletzung handelt, so würden sie von den Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste und den Betreibern von Diensten der Informationsgesellschaft verlangen, unverzüglich die betroffene Person zu benachrichtigen. Falls die Verletzungen eine unmittelbare Gefahr darstellen, müssten die Anbieter und Betreiber die betroffenen Personen benachrichtigen, bevor sie die Behörden unterrichten, ohne eine regulatorische Entscheidung abzuwarten. Eine Ausnahme von der Pflicht, die Verbraucher zu benachrichtigen, gilt für Einrichtungen, die den Behörden glaubhaft machen können, dass „geeignete technische Schutzmaßnahmen ergriffen wurden“, um die Daten für alle unbefugten Personen zu verschlüsseln.

14.

Nach dem Konzept des Rates sind ebenfalls die Teilnehmer und die Behörden zu benachrichtigen, jedoch nur in Fällen, in denen die betroffene Einrichtung die Verletzung als eine ernsthafte Bedrohung der Privatsphäre des Teilnehmers (d.h. Identitätsdiebstahl oder -betrug, physische Schädigung, erhebliche Demütigung oder Rufschädigung) betrachtet.

15.

In dem geänderten Kommissionsvorschlag wird die vom EP eingebrachte Verpflichtung, den Behörden alle Sicherheitsverletzungen zu melden, beibehalten. Im Gegensatz zum Konzept des EP sieht der geänderte Vorschlag jedoch eine Ausnahme von der Pflicht zur Benachrichtigung der Bürger vor, wenn der Anbieter öffentlicher elektronischer Kommunikationsdienste den zuständigen Behörden glaubhaft macht, dass infolge der Verletzung (i) mit großer Wahrscheinlichkeit nicht mit einem Schaden (z. B. wirtschaftlichen Einbußen, sozialen Nachteilen oder Identitätsdiebstahl) zu rechnen ist oder (ii) „geeignete technische Schutzmaßnahmen“ für die von der Sicherheitsverletzung betroffenen Daten ergriffen wurden. Das Konzept der Kommission umfasst also eine Schadensanalyse in Verbindung mit individuellen Benachrichtigungen.

16.

Es sei darauf hingewiesen, dass nach dem Konzept des EP (11) und dem der Kommission letztlich die Behörden zu entscheiden haben, ob die Sicherheitsverletzung schwerwiegend ist oder mit großer Wahrscheinlichkeit Schaden verursachen wird. Im Gegensatz dazu wird nach dem Konzept des Rates diese Entscheidung den betroffenen Einrichtungen überlassen.

17.

Die Konzepte sowohl des Rates als auch der Kommission gelten nur für die Anbieter von öffentlich zugänglichen elektronischen Kommunikationsdiensten und nicht – wie beim Konzept des EP – für die Betreiber von Diensten der Informationsgesellschaft.

18.

Der EDSB begrüßt, dass die drei Gesetzgebungsvorschläge die gleiche Definition für die Meldepflicht für Sicherheitsverletzungen enthalten, die beschrieben werden als „eine Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übertragen, gespeichert oder auf andere Weise […] verarbeitet werden“ (12).

19.

Wie nachstehend weiter ausgeführt wird, ist diese Definition insofern begrüßenswert, als sie genügend weit gefasst ist, um die meisten einschlägigen Situationen abzudecken, in denen eine Benachrichtigung über Sicherheitsverletzungen gerechtfertigt sein könnte.

20.

Erstens enthält die Definition Beispiele für den unberechtigten Zugang von Dritten zu personenbezogenen Daten, wie z. B. das Hacken eines Servers, auf dem personenbezogene Daten gespeichert sind, und die Abfrage solcher Daten.

21.

Zweitens würde diese Definition auch Situationen einschließen, in denen es zum Verlust oder zur Offenlegung personenbezogener Daten gekommen ist, ein unberechtigter Zugang aber noch nachgewiesen werden muss. Hierzu würden Situationen zählen, in denen personenbezogene Daten verloren gegangen sind (z. B. CD-ROM, USB-Speicherstifte oder andere portable Datenträger) oder sie durch reguläre Nutzer öffentlich zugänglich gemacht wurden (Mitarbeiterdatei, die versehentlich und vorübergehend in einen öffentlich zugänglichen Teil des Internets eingestellt wurde). Da häufig nicht nachzuweisen ist, ob zu einem bestimmten Zeitpunkt ein Zugriff oder eine Nutzung durch unbefugte Dritte erfolgt ist oder nicht, erscheint es sinnvoll, diese Beispiele in den Geltungsbereich der Definition aufzunehmen. Der EDSB empfiehlt daher, diese Definition beizubehalten. Er empfiehlt ferner, die Definition der Sicherheitsverletzung in Artikel 2 der Datenschutzrichtlinie für elektronische Kommunikation aufzunehmen, da dies besser der Gesamtstruktur der Richtlinie entspräche und für mehr Klarheit sorgen würde.

22.

Die Meldepflicht gilt nach dem Konzept des EP sowohl für Anbieter elektronischer Kommunikationsdienste als auch für Betreiber von Diensten der Informationsgesellschaft. Nach den Plänen des Rates und der Kommission sollen jedoch nur Anbieter elektronischer Kommunikationsdienste wie beispielsweise Telekommunikationsunternehmen und Internet-Diensteanbieter verpflichtet werden, die Bürger über Sicherheitsverletzungen, durch die ihre personenbezogenen Daten kompromittiert wurden, zu benachrichtigen. Für andere Tätigkeitsbereiche, wie z. B. Online-Banken, Online-Händler, Anbieter von Online-Gesundheitsdiensten, besteht diese Verpflichtung nicht. Aus den im Folgenden dargelegten Gründen ist der EDSB der Ansicht, dass unter dem Blickwinkel der öffentlichen Ordnung unbedingt gewährleistet sein muss, dass Dienste der Informationsgesellschaft, die Online-Unternehmen, Online-Banken, Online-Anbieter von Gesundheitsdiensten usw. umfassen, ebenso der Meldepflicht unterliegen.

23.

Der ESDB stellt erstens fest, dass Telekommunikationsunternehmen zwar sicherlich Ziel von Sicherheitsverletzungen sind, die eine Meldepflicht rechtfertigen, dass dies aber auch für andere Arten von Unternehmen/Anbietern gilt. Online-Händler, Online-Banken und Online-Apotheken haben wahrscheinlich in gleichem, wenn nicht in höherem Maße als Telekommunikationsunternehmen unter Sicherheitsverletzungen zu leiden. Daher sprechen Risikoerwägungen nicht für eine Beschränkung der Meldepflicht bei Sicherheitsverletzungen auf Anbieter öffentlicher elektronischer Kommunikationsdienste. Die Notwendigkeit eines weiter gefassten Ansatzes wird durch die Erfahrungen anderer Länder veranschaulicht. So haben in den Vereinigten Staaten fast alle Bundesstaaten (derzeit mehr als 40) Gesetze zur Meldepflicht bei Sicherheitsverletzungen mit einem breiter angelegten Anwendungsbereich erlassen, der nämlich nicht nur Anbieter öffentlicher elektronischer Kommunikationsdienste erfasst, sondern alle Einrichtungen, die die erforderlichen personenbezogenen Daten aufbewahren.

24.

Zweitens, wenn eine Verletzung der Arten personenbezogener Daten, die von Anbietern öffentlicher elektronischer Kommunikationsdienste regelmäßig verarbeitet werden, eindeutig Auswirkungen auf die Privatsphäre der Bürger haben kann, so gilt dies mindestens in gleichem Maße für die Arten personenbezogener Daten, die von Betreibern von Diensten der Informationsgesellschaft verarbeitet werden. Mit Sicherheit können sich Banken und andere Finanzinstitute hochvertrauliche Informationen (z. B. Kontendaten) besitzen, deren Offenlegung Identitätsdiebstahl begünstigen kann. Ebenso kann die Offenlegung hochsensibler Gesundheitsdaten durch Online-Anbieter von Gesundheitsdiensten besonders schädlich für die Bürger sein. Daher erfordern die Arten personenbezogener Daten, die kompromittiert werden könnten, ebenfalls eine breiter angelegte Anwendung der Meldepflicht bei Sicherheitsverletzungen, die sich zumindest auf die Betreiber von Diensten der Informationsgesellschaft erstrecken müsste.

25.

Es wurden einige rechtliche Argumente gegen eine Erweiterung des Anwendungsbereichs dieses Artikels, d.h. bezüglich der von dieser Anforderung betroffenen Einrichtungen, vorgebracht. Insbesondere wurde die Tatsache, dass der allgemeine Anwendungsbereich der Datenschutzrichtlinie für elektronische Kommunikation nur Anbieter öffentlicher elektronischer Kommunikationsdienste betrifft, als Hindernis für die Anwendung der Meldepflicht auch auf Betreiber von Diensten der Informationsgesellschaft angeführt.

26.

In diesem Zusammenhang möchte der EDSB auf Folgendes hinweisen: (i) Es gibt keinerlei rechtliche Hindernisse, andere Akteure als Anbieter öffentlicher elektronischer Kommunikationsdienste in den Geltungsbereich einiger Bestimmungen der Richtlinie aufzunehmen. Der Gemeinschaftsgesetzgeber hat in dieser Hinsicht völlige Ermessensfreiheit. (ii) In der bestehenden Datenschutzrichtlinie für elektronische Kommunikation sind weitere Beispiele für die Anwendung auf andere Einrichtungen als Anbieter öffentlicher elektronischer Kommunikationsdienste zu finden.

27.

So gilt beispielsweise Artikel 13 nicht nur für Anbieter öffentlicher elektronischer Kommunikationsdienste, sondern für jedes Unternehmen, das unerbetene Nachrichten versendet, indem eine ausdrückliche vorherige Einwilligung hierfür gefordert wird. Darüber hinaus ist Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation, der unter anderem die Speicherung von Informationen wie Cookies in den Endgeräten der Nutzer untersagt, nicht nur für Anbieter öffentlicher elektronischer Kommunikationsdienste bindend, sondern für jeden, der versucht, Informationen in den Endgeräten der Bürger zu speichern oder auf dort gespeicherte Informationen zuzugreifen. Zudem hat die Kommission in dem laufenden Gesetzgebungsverfahren sogar vorgeschlagen, den Anwendungsbereich von Artikel 5 Absatz 3 zu erweitern, sobald derartige Technologien (Cookies/Spähsoftware) nicht nur über elektronische Kommunikationssysteme, sondern durch jedes mögliche andere Verfahren (Verbreitung durch Herunterladen aus dem Internet oder über externe Datenspeichermedien wie CD-ROM, USB-Speicherstifte, Flash-Laufwerke usw.) übertragen werden. Alle diese Elemente sind begrüßenswert und sollten beibehalten werden, sie sollten aber auch relevante Präzedenzfälle für die gegenwärtige Diskussion über den Anwendungsbereich schaffen.

28.

Außerdem haben im laufenden Gesetzgebungsverfahren die Kommission, das EP und wohl auch der Rat einen neuen Artikel 6 Absatz 6a vorgeschlagen, der für andere Einrichtungen als Anbieter öffentlicher elektronischer Kommunikationsdienste gelten soll; dieser wird im Weiteren noch behandelt.

29.

Berücksichtigt man die zahlreichen positiven Aspekte der Meldepflicht bei Sicherheitsverletzungen, so werden die Bürger diesen Nutzen sehr wahrscheinlich nicht nur dann erwarten, wenn ihre personenbezogenen Daten durch Anbieter öffentlicher elektronischer Kommunikationsdienste kompromittiert werden, sondern auch dann, wenn dies durch Betreiber von Diensten der Informationsgesellschaft geschieht. Diesen Erwartungen der Bürger wird man nicht gerecht, wenn ein Bürger beispielsweise nicht benachrichtigt wird, wenn eine Online-Bank seine Kontendaten verloren hat.

30.

Insgesamt ist der EDSB überzeugt, dass der volle Nutzen der Meldepflicht bei Sicherheitsverletzungen besser erreicht wird, wenn sowohl die Anbieter öffentlicher elektronischer Kommunikationsdienste als auch die Betreiber von Diensten der Informationsgesellschaft in die Kategorie der betroffenen Einrichtungen fallen.

31.

Was den Auslöser für die Meldepflicht betrifft, so ist der EDSB – wie im Folgenden erläutert – der Ansicht, dass der Standard in dem geänderten Vorschlag „reasonably likely to harm“ (verursacht mit großer Wahrscheinlichkeit Schaden) der am besten geeignete der drei vorgeschlagenen Standards ist. Jedoch muss sichergestellt werden, dass „Schaden verursachen“ genügend weit gefasst wird, um alle einschlägigen Beispiele für negative Auswirkungen auf die Privatsphäre oder andere legitime Interessen der Bürger abzudecken. Andernfalls wäre es besser, einen neuen Standard einzuführen, wonach die Benachrichtigung obligatorisch wäre, „wenn die Sicherheitsverletzung mit großer Wahrscheinlichkeit nachteilige Folgen für die betreffenden Personen hat“.

32.

Wie in dem vorherigen Abschnitt bereits ausgeführt wurde, unterscheiden sich die Voraussetzungen, unter denen eine Benachrichtigung der betreffenden Personen zu erfolgen hat (als „Auslöser“ oder „Standard“ bezeichnet), in den Konzepten des EP, der Kommission und des Rates. Natürlich wird es in großem Maße von dem für die Benachrichtigung festgelegten Auslöser oder Standard abhängen, in welchem Umfang die Bürger benachrichtigt werden.

33.

Nach den Plänen des Rates und der Kommission hat eine Benachrichtigung zu erfolgen, wenn die Verletzung „eine ernsthafte Bedrohung der Privatsphäre des Teilnehmers“ darstellt (Rat) oder wenn „infolge der Verletzung“ [mit großer Wahrscheinlichkeit] „mit einer Gefährdung der Interessen der Verbraucher zu rechnen ist“ (Kommission). Nach dem Plan des EP ist der Auslöser für die Benachrichtigung der Bürger die „Schwere der Verletzung“ (d.h. eine Benachrichtigung der betreffenden Personen ist erforderlich, wenn die Verletzung als „schwerwiegend“ gilt). Unterhalb dieser Schwelle ist eine Benachrichtigung nicht erforderlich (13).

34.

Der EDSB versteht, dass im Falle einer Kompromittierung personenbezogener Daten argumentiert werden könnte, dass die betreffenden Personen Anspruch darauf haben, unter allen Umständen Kenntnis von einem solchen Vorfall zu haben. Es ist jedoch nur recht und billig abzuwägen, ob dies angesichts anderer Interessen und Überlegungen eine geeignete Lösung darstellt.

35.

Es wurde angedeutet, dass die Verpflichtung, bei einer Kompromittierung personenbezogener Daten in jedem Fall – d. h. ohne Einschränkungen – eine Benachrichtigung zu versenden, zu einer Überbenachrichtigung oder „Benachrichtigungsmüdigkeit“ führen könnte, in deren Ergebnis es zu einer Desensibilisierung kommen könnte. Wie nachstehend ausführlicher dargelegt wird, ist der EDSB offen für dieses Argument, er möchte aber gleichzeitig seine Bedenken dagegen zum Ausdruck bringen, dass eine Überbenachrichtigung ein möglicher Indikator für ein weit verbreitetes Scheitern der Verfahren im Bereich der Informationssicherheit sein soll.

36.

Wie bereits gesagt, sieht der EDBS die möglichen negativen Folgen einer Überbenachrichtigung und möchte mit dafür sorgen, dass der Rechtsrahmen für die Meldung von Sicherheitsverletzungen nicht zu diesem Ergebnis führt. Wenn die Bürger häufig Benachrichtigungen über Verletzungen erhalten, selbst wenn es keine nachteiligen Folgen, keinen Schaden und keine Notlage gibt, dann wird letztlich eines der zentralen Ziele der Benachrichtigung unterlaufen, denn die Bürger könnten paradoxerweise die Benachrichtigung genau dann ignorieren, wenn sie eigentlich Schritte zu ihrem eigenen Schutz unternehmen müssten. Es ist also wichtig, durch sinnvolle Benachrichtigungen das richtige Gleichgewicht zu erreichen, denn wenn die Bürger nicht auf die empfangenen Benachrichtigungen reagieren, wird die Wirksamkeit der Meldevorschriften erheblich verringert.

37.

Damit ein geeigneter Standard angenommen wird, der nicht zu einer Überbenachrichtigung führt, müssen neben dem Auslöser der Meldepflicht auch andere Faktoren, insbesondere die Definition der Sicherheitsverletzung und die der Meldepflicht unterliegenden Daten, berücksichtigt werden. Hierzu stellt der EDSB fest, dass bei allen drei vorgeschlagenen Konzepten die Menge der Benachrichtigungen angesichts der oben erörterten weit gefassten Definition der Sicherheitsverletzung recht hoch sein kann. Die Besorgnis über eine Überbenachrichtigung wird ferner dadurch verstärkt, dass die Definition der Sicherheitsverletzung alle Arten personenbezogener Daten erfasst. Wenngleich der EDSB dies für den richtigen Ansatz hält (nämlich keine Einschränkung der meldepflichtigen personenbezogenen Daten) – im Gegensatz zu anderen Ansätzen wie den US-amerikanischen Gesetzen, in denen die Anforderungen auf die Empfindlichkeit der Daten ausgerichtet sind –, muss dieser Faktor dennoch berücksichtigt werden.

38.

Vor dem Hintergrund dieser Ausführungen und unter Berücksichtigung aller verschiedenen Variablen hält es der EDSB für sinnvoll, einen Schwellenwert oder Standard aufzunehmen, unterhalb dessen keine Meldepflicht besteht.

39.

Beide vorgeschlagenen Standards – d.h. die Sicherheitsverletzung stellt eine „ernsthafte Bedrohung der Privatsphäre“ dar oder „verursacht mit großer Wahrscheinlichkeit Schaden“ – scheinen beispielsweise soziale Nachteile, Rufschädigung und wirtschaftliche Schäden einzuschließen. So würden diese Standards Fälle möglichen Identitätsdiebstahls durch die Freigabe nicht öffentlicher Erkennungszeichen wie Passnummern sowie Fälle möglicher Informationen über das Privatleben der Bürger abdecken. Der EDSB begrüßt diesen Ansatz. Seiner Überzeugung nach kann der Nutzen der Meldepflicht bei Sicherheitsverletzungen nicht in vollem Umfang zum Tragen kommen, wenn das Meldesystem nur Verletzungen erfasst, die zu wirtschaftlichen Schäden führen.

40.

Von den beiden vorgeschlagenen Standards bevorzugt der EDSB den Standard der Kommission „verursacht mit großer Wahrscheinlichkeit Schaden“, da er ein besseres Schutzniveau für die Bürger bieten würde. Sicherheitsverletzungen werden viel eher eine Benachrichtigung erfordern, wenn sie „mit großer Wahrscheinlichkeit Schaden“ für die Privatsphäre der Bürger „verursachen“, als wenn sie eine „ernsthafte Bedrohung“ hinsichtlich eines solchen Schadens darstellen. Werden nur Sicherheitsverletzungen erfasst, die eine ernsthafte Bedrohung der Privatsphäre der Bürger darstellen, so würde dies die Zahl der meldepflichtigen Verletzungen erheblich einschränken. Nur derartige Sicherheitsverletzungen zu erfassen, würde den Anbietern öffentlicher elektronischer Kommunikationsdienste und den Betreibern von Diensten der Informationsgesellschaft einen übergroßen Ermessensspielraum hinsichtlich der Notwendigkeit einer Benachrichtigung lassen, da es für sie viel einfacher wäre, die Schlussfolgerung, dass keine ernsthafte Bedrohung hinsichtlich eines Schadens besteht, als die Schlussfolgerung zu rechtfertigen, dass mit großer Wahrscheinlichkeit kein Schaden verursacht wird. Wenngleich eine Überbenachrichtigung sicherlich zu vermeiden ist, muss im Zweifelsfall für die Interessen des Schutzes der Privatsphäre entschieden werden, und die Bürger sollten zumindest dann geschützt sein, wenn eine Sicherheitsverletzung ihnen mit großer Wahrscheinlichkeit Schaden verursacht. Außerdem wird die Formulierung „mit großer Wahrscheinlichkeit“ in der Praxis sowohl für die betroffenen Anbieter als auch für die zuständigen Behörden wirkungsvoller sein, da sie eine objektive Beurteilung des Falls in seinem jeweiligen Kontext erfordert.

41.

Außerdem können Verletzungen der Sicherheit personenbezogener Daten Schäden verursachen, die schwer bezifferbar sind und sich unterscheiden können. Tatsächlich kann die Offenlegung der gleichen Art von Daten – in Abhängigkeit von den individuellen Umständen – einer Person erheblich mehr Schaden zufügen als einer anderen. Ein Standard, wonach der Schaden materiell, erheblich oder schwerwiegend sein müsste, wäre nicht geeignet. So würde das Konzept des Rates, dem zufolge durch die Sicherheitsverletzung die Privatsphäre einer Person schwerwiegend beeinträchtigt werden muss, insofern nur einen unzureichenden Schutz für Privatpersonen bieten, als nach einem solchen Standard die Auswirkungen auf die Privatsphäre „schwerwiegend“ sein müssen. Zudem bietet es Raum für eine subjektive Beurteilung.

42.

Zwar scheint der obengenannte Standard „verursacht mit großer Wahrscheinlichkeit Schaden“ für die Meldepflicht bei Sicherheitsverletzungen geeignet zu sein, doch hat der EDSB nach wie vor Bedenken, dass dieser Standard vielleicht nicht alle Situationen erfasst, in denen eine Benachrichtigung der Bürger gerechtfertigt ist, d.h. alle Situationen, in denen mit großer Wahrscheinlichkeit mit negativen Auswirkungen auf die Privatsphäre oder andere legitime Interessen von Personen zu rechnen ist. Aus diesem Grund könnte ein Standard erwogen werden, nach dem eine Benachrichtigung erforderlich wäre, „wenn die Sicherheitsverletzung mit großer Wahrscheinlichkeit nachteilige Folgen für die Personen hat“.

43.

Dieser alternative Standard hätte außerdem den Vorteil, dass er im Einklang mit den Datenschutzvorschriften der EU stünde. Tatsächlich wird in der Datenschutzrichtlinie mehrfach auf die Beeinträchtigung der Rechte und Freiheiten der betroffenen Personen verwiesen. So erlauben beispielsweise Artikel 18 und Erwägungsgrund 49, in denen die Pflicht zur Registrierung von Datenverarbeitungsvorgängen bei den Datenschutzbehörden behandelt wird, eine Ausnahme von dieser Pflicht in Fällen, in denen „eine Beeinträchtigung der Rechte und Freiheiten der betroffenen Personen unwahrscheinlich ist“. Ein ähnlicher Wortlaut wird in Artikel 13 Absatz 6 des Gemeinsamen Standpunkts verwendet, um juristischen Personen ein gerichtliches Vorgehen gegen Spam-Versender zu ermöglichen.

44.

Unter Berücksichtigung des oben Gesagten wäre außerdem zu erwarten, dass die betroffenen Einrichtungen und insbesondere die für die Durchsetzung der Datenschutzvorschriften zuständigen Behörden mit dem obengenannten Standard besser vertraut wären und somit leichter beurteilen könnten, ob eine bestimmte Sicherheitsverletzung dem geforderten Standard entspricht.

45.

Nach dem Konzept des EP (außer in Fällen von unmittelbarer Gefahr) und dem geänderten Vorschlag der Kommission liegt es bei den Behörden der Mitgliedstaaten, zu bestimmen, ob eine Sicherheitsverletzung dem Standard entspricht, der die Pflicht zur Benachrichtigung der betreffenden Personen auslöst.

46.

Der EDSB ist der Auffassung, dass die Einbeziehung einer Behörde insofern wichtig für die Entscheidung über die Erfüllung des Standards ist, als sie in gewisser Weise eine Garantie für die ordnungsgemäße Anwendung des Rechtsaktes bietet. Ein solches System kann verhindern, dass Unternehmen die Verletzung fälschlicherweise als nicht schädlich/schwerwiegend einschätzen und somit eine Benachrichtigung umgehen, obwohl diese eigentlich erforderlich wäre.

47.

Andererseits befürchtet der EDSB, dass eine Regelung, nach der die Behörden eine Bewertung durchführen müssen, unpraktisch und schwer anwendbar sein könnte oder sich in der Praxis als kontraproduktiv erweisen könnte. Sie könnte sogar die Datenschutzgarantien für die Bürger abschwächen.

48.

Tatsächlich würden die Datenschutzbehörden bei einem solchen Ansatz wahrscheinlich mit Meldungen von Sicherheitsverletzungen überhäuft und könnten ernsthafte Schwierigkeiten haben, die erforderlichen Bewertungen vorzunehmen. Es sei darauf hingewiesen, dass die Behörden für die Bewertung, ob eine Sicherheitsverletzung dem Standard entspricht, genügend interne Informationen – oft komplexer technischer Natur – benötigen, die sie sehr schnell verarbeiten müssen. Angesichts der Schwierigkeit der Bewertung und der Tatsache, dass einige Behörden nur über begrenzte Mittel verfügen, befürchtet der EDSB, dass es den Behörden äußerst schwerfallen würde, dieser Verpflichtung nachzukommen, und dass Mittel von anderen wichtigen Prioritäten abgezogen werden könnten. Außerdem könnte durch ein solches System unangemessener Druck auf die Behörden ausgeübt werden; tatsächlich könnten sie unter Umständen haftbar gemacht werden, falls sie entscheiden sollten, dass eine Verletzung nicht schwerwiegend ist, den betreffenden Personen aber dennoch Schaden entsteht.

49.

Diese Schwierigkeit wird noch deutlicher, wenn man berücksichtigt, dass Zeit ein entscheidender Faktor für die Begrenzung der Risiken ist, die sich aus Sicherheitsverletzungen ergeben. Sofern die Behörden nicht in der Lage sind, die Bewertung in kürzester Zeit vorzunehmen, kann sich durch die zusätzliche Zeit, die sie für eine solche Bewertung benötigen, der Schaden für die betreffenden Personen noch vergrößern. Daher kann dieser zusätzliche Schritt, der den Bürgern mehr Schutz bieten soll, paradoxerweise dazu führen, dass er weniger Schutz bietet als Systeme, die auf einer direkten Benachrichtigung beruhen.

50.

Aus diesen Gründen hält es der EDSB für besser, ein System einzuführen, in dem die betroffenen Einrichtungen bewerten sollten, ob eine Verletzung dem Standard entspricht oder nicht, so wie es im Konzept des Rates vorgesehen ist.

51.

Um die Gefahren eines möglichen Missbrauchs zu vermeiden (z. B. durch Einrichtungen, die eine Benachrichtigung in Fällen ablehnen, in denen sie eindeutig erforderlich ist), ist es äußerst wichtig, einige der nachstehenden Datenschutzgarantien aufzunehmen.

52.

Erstens muss die für die betroffenen Einrichtungen geltende Pflicht, über die Notwendigkeit einer Benachrichtigung zu entscheiden, natürlich mit der Verpflichtung einhergehen, dass den Behörden zwingend alle Sicherheitsverletzungen zu melden sind, die dem geforderten Standard entsprechen. Von den betroffenen Einrichtungen sollte in diesen Fällen verlangt werden, dass sie die Behörden über die Sicherheitsverletzung, über die Gründe für ihre Entscheidung hinsichtlich einer Benachrichtigung sowie über den Inhalt einer etwaigen Benachrichtigung informieren.

53.

Zweitens muss den Behörden eine wirkliche Aufsichtsfunktion übertragen werden. Bei der Ausübung dieser Funktion müssen die Behörden die Möglichkeit haben, ohne dazu verpflichtet zu sein, Untersuchungen zu den Umständen der Sicherheitsverletzung anzustellen und gegebenenfalls geeignete Korrekturmaßnahmen zu fordern (14). Hierzu sollte nicht nur die Benachrichtigung der betreffenden Personen (sofern dies nicht bereits erfolgt ist) zählen, sondern auch die Möglichkeit, eine bestimmte Vorgehensweise vorzuschreiben, um künftige Sicherheitsverletzungen zu verhindern. Die Behörden sollten hierfür tatsächliche Befugnisse und Mittel erhalten, und sie müssen über den notwendigen Spielraum verfügen, um zu entscheiden, wann auf die Meldung einer Sicherheitsverletzung zu reagieren ist. Mit anderen Worten, dies würde den Behörden ermöglichen, gezielt vorzugehen und Untersuchungen einzuleiten (z. B. über umfangreiche, wirklich schädliche Sicherheitsverletzungen) und die Einhaltung der rechtlichen Anforderungen zu überprüfen und durchzusetzen.

54.

Um das zu erreichen, empfiehlt der EDSB, neben den im Rahmen der Datenschutzrichtlinie für elektronische Kommunikation, insbesondere von Artikel 15a Absatz 3, und der Datenschutzrichtlinie anerkannten Befugnissen folgenden Text aufzunehmen: „Falls der betreffende Teilnehmer oder die betreffende Person nicht bereits benachrichtigt wurde, kann die zuständige nationale Behörde, nachdem sie die Art der Sicherheitsverletzung geprüft hat, den Anbieter von öffentlichen elektronischen Kommunikationsdiensten oder den Betreiber von Diensten der Informationsgesellschaft auffordern, dies zu tun.“

55.

Außerdem empfiehlt der EDSB dem EP und dem Rat, die vom EP vorgeschlagene Verpflichtung der Einrichtungen, die Risiken ihrer Systeme und der personenbezogenen Daten, die sie verarbeiten wollen, zu bestimmen und zu beurteilen (Abänderung 122, Artikel 4 Absatz 1 Buchstabe a), zu bestätigen. Ausgehend von dieser Verpflichtung erstellen die Einrichtungen eine maßgeschneiderte und genaue Beschreibung der Sicherheitsmaßnahmen, die in ihrem Fall gilt und die den Behörden vorliegen sollte. Kommt es zu einer Sicherheitsverletzung, so wird diese Verpflichtung den betroffenen Einrichtungen – und letztlich auch den Behörden in ihrer Aufsichtsfunktion – bei der Entscheidung helfen, ob die Kompromittierung solcher Daten zu nachteiligen Folgen oder Schäden für die Bürger führen kann.

56.

Drittens muss die Verpflichtung der betroffenen Einrichtungen, über die Notwendigkeit einer Benachrichtigung der Bürger zu entscheiden, mit der Verpflichtung einhergehen, ein detailliertes und umfassendes Protokoll der internen Prüfung zu führen, in dem alle aufgetretenen Sicherheitsverletzungen, alle diesbezüglichen Benachrichtigungen sowie alle Maßnahmen zur Verhinderung künftiger Sicherheitsverletzungen beschrieben werden. Dieses Protokoll der internen Prüfung muss den Behörden für ihre Überprüfung und ihre möglichen Untersuchungen zur Verfügung stehen. Auf diese Weise werden die Behörden ihre Aufsichtsfunktion ausüben können. Erreicht werden könnte das durch die Annahme eines Textes mit folgendem Wortlaut: „Die Anbieter von öffentlichen elektronischen Kommunikationsdiensten und die Betreiber von Diensten der Informationsgesellschaft führen und bewahren umfassende Aufzeichnungen, in denen alle aufgetretenen Sicherheitsverletzungen, die diesbezüglichen relevanten technischen Informationen und die getroffenen Korrekturmaßnahmen ausführlich dargelegt sind. Die Aufzeichnungen müssen ferner einen Verweis auf alle Benachrichtigungen der betreffenden Teilnehmer oder der betreffenden Personen und der zuständigen nationalen Behörden, einschließlich ihres Datums und ihres Inhalts, enthalten. Diese Aufzeichnungen sind der zuständigen nationalen Behörde auf Anfrage vorzulegen.“

57.

Um eine kohärente Umsetzung dieses Standards sowie anderer relevanter Aspekte des Rahmens für die Regelung von Sicherheitsverletzungen (wie z. B. Gestaltung und Verfahren der Benachrichtigung) zu gewährleisten, sollte die Kommission nach Konsultation des EDSB, der Datenschutzgruppe „Artikel 29“ und der einschlägigen Interessenträger technische Durchführungsmaßnahmen erlassen.

58.

Was die Empfänger der Benachrichtigungen anbelangt, so gibt der EDSB der Begriffswahl des EP und der Kommission den Vorzug gegenüber jener des Rates. Tatsächlich hat das EP das Wort „Teilnehmer“ durch „Nutzer“ ersetzt. Die Kommission benutzt die Begriffe „Teilnehmer“ und „betroffene Person“. Die Formulierungen des EP wie auch der Kommission würden als Empfänger der Benachrichtigungen nicht nur die aktuellen Teilnehmer einschließen, sondern auch frühere Teilnehmer und Dritte, wie z. B. Nutzer, die mit einigen betroffenen Einrichtungen kommunizieren, ohne sich bei ihnen zu abonnieren. Der EDSB begrüßt diesen Ansatz und ersucht das EP und den Rat, ihn beizubehalten.

59.

Der EDSB stellt jedoch eine Reihe von Widersprüchen bei der Begriffswahl der ersten Lesung des EP fest, die beseitigt werden sollten. So wurde beispielsweise das Wort „Teilnehmer“ in den meisten Fällen durch „Nutzer“ ersetzt, in einigen Fällen aber auch durch „Verbraucher“. Dies sollte vereinheitlicht werden.

60.

In Artikel 3 Absatz 1 der geltenden Datenschutzrichtlinie für elektronische Kommunikation sind die in erster Linie von dieser Richtlinie betroffenen Einrichtungen festgelegt, d.h. die Einrichtungen, die Daten „in Verbindung mit“ der Bereitstellung öffentlich zugänglicher Kommunikationsdienste in öffentlichen Netzen verarbeiten (vorstehend als „Anbieter öffentlicher elektronischer Kommunikationsdienste“ bezeichnet) (15). Beispiele für Tätigkeiten von Anbietern elektronischer Kommunikationsdienste sind die Bereitstellung eines Internetzugangs, die Übertragung von Informationen über elektronische Netze, Mobiltelefon- und Telefonverbindungen usw.

61.

Das EP hat Abänderung 121 zur Änderung von Artikel 3 des ursprünglichen Kommissionsvorschlags angenommen, die besagt, dass der Anwendungsbereich der Datenschutzrichtlinie für elektronische Kommunikation erweitert wurde, um „die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen und privaten Kommunikationsnetzen und öffentlich zugänglichen privaten Netzen in der Gemeinschaft, […]“ aufzunehmen (Artikel 3 Absatz 1 der Richtlinie 2002/58/EG). Leider hatten der Rat und die Kommission Schwierigkeiten, diese Abänderung zu akzeptieren, weshalb dieses Konzept nicht in den Gemeinsamen Standpunkt und den geänderten Vorschlag übernommen wurde.

62.

Aus den im Folgenden dargelegten Gründen und um einen Konsens zu begünstigen, rät der EDSB, Abänderung 121 im Wesentlichen zu bewahren. Außerdem empfiehlt er, eine Änderung aufzunehmen, die zur weiteren Präzisierung der in den erweiterten Anwendungsbereich fallenden Arten von Diensten beitragen würde.

63.

Private Netze dienen oft dazu, elektronische Kommunikationsdienste wie einen Internetzugang für eine unbestimmte — potenziell hohe — Anzahl von Personen bereitzustellen. Das gilt zum Beispiel für den Internetzugang in Internet-Cafés sowie über Hot Spots in Hotels, Restaurants, Zügen, auf Flughäfen und in anderen öffentlich zugänglichen Einrichtungen, in denen derartige Dienste oft ergänzend zu anderen Dienstleistungen (Getränke, Unterbringung usw.) bereitgestellt werden.

64.

Bei allen obengenannten Beispielen wird der Öffentlichkeit ein Kommunikationsdienst, d.h. der Internetzugang, nicht über ein öffentliches Netz zur Verfügung gestellt, sondern über eines, das eher als privat anzusehen ist, d.h. über ein privat betriebenes Netz. Wenngleich in den obengenannten Fällen der Kommunikationsdienst für die Öffentlichkeit bereitgestellt wird, ist die Bereitstellung dieser Dienste wohl durch die gesamte Datenschutzrichtlinie für elektronische Kommunikation oder zumindest durch einige ihrer Artikel nicht erfasst, da das benutzte Netz eher privater als öffentlicher Natur ist (16). Infolgedessen sind die durch die Datenschutzrichtlinie für elektronische Kommunikation garantierten Grundrechte der Bürger in diesen Fällen nicht geschützt und es ergibt sich eine ungleiche Rechtslage für Nutzer der gleichen Dienste des Internetzugangs je nachdem, ob sie über öffentliche Telekommunikationsunternehmen oder über private Anbieter darauf zugreifen. Dies gilt ungeachtet der Tatsache, dass die Gefährdung der Privatsphäre und der personenbezogenen Daten der Bürger in all diesen Fällen ebenso hoch ist wie in Fällen, in denen der Dienst über öffentliche Netze bereitgestellt wird. Kurz gesagt, es gibt keinen Grund dafür, im Rahmen dieser Richtlinie Kommunikationsdienste, die über ein privates Netz bereitgestellt werden, anders zu behandeln als Dienste, die über ein öffentliches Netz bereitgestellt werden.

65.

Daher würde der EDSB eine Änderung wie Abänderung 121 des EP unterstützen, wonach die Datenschutzrichtlinie für elektronische Kommunikation auch für die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in privaten Kommunikationsnetzen gelten würde.

66.

Der EDSB räumt aber ein, dass diese Formulierung unvorhersehbare und möglicherweise unbeabsichtigte Folgen haben könnte. Tatsächlich könnte ein bloßer Bezug auf private Netze dahin gehend ausgelegt werden, dass Situationen erfasst werden, die eindeutig nicht unter diese Richtlinie fallen sollen. So könnte beispielsweise behauptet werden, dass eine wörtliche oder strenge Auslegung dieser Formulierung dazu führen würde, dass die Eigentümer von Häusern mit WiFi-Ausstattung (17), über die jeder innerhalb ihrer Reichweite (in der Regel innerhalb des Hauses) eine Verbindung herstellen könnte, in den Anwendungsbereich der Richtlinie fallen, auch wenn dies mit Abänderung 121 nicht beabsichtigt wird. Um das zu vermeiden, empfiehlt der EDSB, Abänderung 121 umzuformulieren, indem in den Anwendungsbereich der Datenschutzrichtlinie für elektronische Kommunikation „die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher Kommunikationsdienste in öffentlichen oder öffentlich zugänglichen privaten Kommunikationsnetzen in der Gemeinschaft, …“ aufgenommen wird.

67.

Dadurch würde klargestellt, dass nur öffentlich zugängliche private Netze unter die Datenschutzrichtlinie für elektronische Kommunikation fallen würden. Indem die Bestimmungen der Datenschutzrichtlinie für elektronische Kommunikation lediglich auf öffentlich zugängliche private Netze (und nicht auf alle privaten Netze) angewandt werden, wird eine Grenze gesetzt, so dass die Richtlinie nur die Kommunikationsdienste erfasst, die über absichtlich der Öffentlichkeit zugänglich gemachte private Netze bereitgestellt werden. Mit dieser Formulierung würde deutlicher herausgestellt, dass die Verfügbarkeit privater Netze für Angehörige der breiten Öffentlichkeit der Schlüsselfaktor für die Entscheidung ist, ob die Richtlinie greift (zusätzlich zu der Bereitstellung eines öffentlich zugänglichen Kommunikationsdienstes). Mit anderen Worten würde ein Netz/Dienst unter die Datenschutzrichtlinie für elektronische Kommunikation fallen, unabhängig davon, ob es sich um ein öffentliches oder privates Netz handelt, wenn das Netz absichtlich der Öffentlichkeit zugänglich gemacht wird, um einen öffentlichen Kommunikationsdienst, wie z. B. einen Internetzugang, bereitzustellen, selbst wenn dieser Dienst eine andere Dienstleistung (z. B. Hotelunterbringung) ergänzt.

68.

Der EDSB stellt fest, dass der vorstehend befürwortete Ansatz, nach dem die Bestimmungen der Datenschutzrichtlinie für elektronische Kommunikation für öffentlich zugängliche private Netze gelten sollen, im Einklang mit den Ansätzen mehrerer Mitgliedstaaten steht, wo die Behörden bereits erklärt haben, dass derartige Dienste ebenso wie Dienste in rein privaten Netzen in den Anwendungsbereich der nationalen Bestimmungen zur Durchführung der Datenschutzrichtlinie für elektronische Kommunikation fallen. (18)

69.

Um die Rechtssicherheit für die durch den neuen Anwendungsbereich erfassten Einrichtungen zu fördern, könnte es sinnvoll sein, in die Datenschutzrichtlinie für elektronische Kommunikation eine Änderung aufzunehmen, in der „öffentlich zugängliche private Netze“ definiert werden; diese Definition könnte wie folgt lauten: „‚Öffentlich zugängliches privates Netz‘ bezeichnet ein privat betriebenes Netz, zu dem Angehörige der breiten Öffentlichkeit normalerweise unbeschränkten Zugang haben, ganz gleich ob entgeltlich oder unentgeltlich oder in Verbindung mit anderen Dienstleistungen oder Angeboten, sofern sie die geltenden Bedingungen akzeptieren.“

70.

In der Praxis würde dieser Ansatz bedeuten, dass private Netze in Hotels und anderen Einrichtungen, die der breiten Öffentlichkeit einen Internetzugang über ein privates Netz bieten, erfasst würden. Andersherum wäre die Bereitstellung von Kommunikationsdiensten in rein privaten Netzen, in denen die Dienstleistung auf eine begrenzte Gruppe identifizierbarer Personen beschränkt ist, nicht erfasst. Daher würden beispielsweise virtuelle private Netze und Privatwohnungen mit WiFi-Ausstattung nicht unter die Richtlinie fallen. Auch Dienstleistungen, die über rein unternehmensinterne Netze bereitgestellt werden, wären nicht erfasst.

71.

Die oben empfohlene Ausnahme privater Netze per se sollte als eine vorläufige Maßnahme betrachtet werden, die weiter erörtert werden sollte. In Anbetracht der Auswirkungen, die ein einfacher Ausschluss rein privater Netze auf die Privatsphäre haben könnte, und angesichts der Tatsache, dass dieser Beschluss eine Vielzahl von Personen betrifft, die normalerweise über Firmennetze auf das Internet zugreifen, müsste diese Frage in Zukunft eventuell überdacht werden. Aus diesem Grund und um die Diskussion über dieses Thema anzuregen, empfiehlt der EDSB die Aufnahme eines Erwägungsgrunds in die Datenschutzrichtlinie für elektronische Kommunikation, nach dem die Kommission eine öffentliche Konsultation zur Anwendung dieser Richtlinie auf alle privaten Netze mit Beiträgen des EDSB, der Datenschutzbehörden und anderer einschlägiger Interessenträger durchführen wird. Außerdem könnte in dem Erwägungsgrund präzisiert werden, dass die Kommission im Ergebnis der öffentlichen Konsultation geeignete Vorschläge unterbreiten sollte, um die Arten von Einrichtungen, die unter diese Richtlinie fallen, zu erweitern oder zu begrenzen.

72.

Darüber hinaus sollten die verschiedenen Artikel der Datenschutzrichtlinie für elektronische Kommunikation entsprechend geändert werden, so dass sich alle Durchführungsbestimmungen ausdrücklich neben öffentlichen Netzen auf öffentlich zugängliche private Netze beziehen.

73.

Während des Gesetzgebungsverfahrens zur Überprüfung der Datenschutzrichtlinie für elektronische Kommunikation haben Unternehmen, die Sicherheitsdienste bereitstellen, geltend gemacht, dass in die Richtlinie eine Bestimmung aufgenommen werden müsse, um die Sammlung von Verkehrsdaten zu legitimieren, damit eine wirksame Online-Sicherheit garantiert werden könne.

74.

Daraufhin hat das EP Abänderung 181 aufgenommen, mit der ein neuer Artikel 6 Absatz 6a eingeführt wurde, der die Verarbeitung von Verkehrsdaten zu Sicherheitszwecken ausdrücklich gestatten würde: „Unbeschadet der Einhaltung der Vorschriften außer denjenigen des Artikels 7 der Richtlinie 95/46/EG und des Artikels 5 dieser Richtlinie können Verkehrsdaten im berechtigten Interesse des für die Verarbeitung Verantwortlichen verarbeitet werden, um technische Maßnahmen für die Netz- und Informationssicherheit gemäß der Definition in Artikel 4 Buchstabe c der Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des Rates vom 10. März 2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit durchzuführen in Bezug auf einen öffentlichen Dienst für elektronische Kommunikationsdienste und -netze, ein öffentliches oder privates Netz für elektronische Kommunikation, einen Dienst der Informationsgesellschaft oder damit zusammenhängende Endgeräte und Geräte für elektronische Kommunikation, sofern nicht das Interesse oder die geschützten Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Eine solche Verarbeitung muss auf das für derartige Sicherheitsvorkehrungen unbedingt erforderliche Maß beschränkt bleiben.“

75.

Im geänderten Vorschlag der Kommission wurde diese Abänderung im Grundsatz gebilligt, aber es wurde eine wichtige Klausel entfernt, die sicherstellen sollte, dass die übrigen Bestimmungen der Richtlinie eingehalten werden; in der entfernten Klausel heißt es: „Unbeschadet […] dieser Richtlinie“. Der Rat hat eine überarbeitete Version angenommen, die bei der Abschwächung der in Abänderung 181 vorgesehenen bedeutenden Schutzmaßnahmen und des Interessenausgleichs noch einen Schritt weiter geht; sie hat folgenden Wortlaut: „Verkehrsdaten können im strikt notwendigen Ausmaß verarbeitet werden, um die Netz- und Informationssicherheit gemäß der Definition in Artikel 4 Buchstabe c der Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des Rates vom 10. März 2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit zu gewährleisten.“

76.

Wie nachstehend näher erläutert wird, ist Artikel 6 Absatz 6a unnötig und birgt ein Missbrauchsrisiko, insbesondere wenn er in einer Form angenommen wird, die nicht die wichtigen Garantien, die Klauseln zur Einhaltung anderer Bestimmungen der Richtlinie und den Interessenausgleich enthält. Daher empfiehlt der EDSB, diesen Artikel zu streichen oder aber zumindest sicherzustellen, dass ein etwaiger Artikel zu diesem Thema die Arten von Garantien enthält, die in der vom EP angenommenen Abänderung 181 enthalten sind.

77.

Der Umfang, in dem die Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste Verkehrsdaten rechtmäßig verarbeiten dürfen, ist in Artikel 6 der Datenschutzrichtlinie für elektronische Kommunikation geregelt, in dem die Verarbeitung von Verkehrsdaten auf eine begrenzte Anzahl von Zwecken wie Gebührenabrechnung, Bezahlung von Zusammenschaltungen und Vermarktung beschränkt wird. Diese Verarbeitung kann nur unter bestimmten Bedingungen erfolgen; so ist beispielsweise für eine Vermarktung die Einwilligung der betreffenden Personen erforderlich. Zudem dürfen andere für die Datenverarbeitung Verantwortliche wie die Betreiber von Diensten der Informationsgesellschaft nach Artikel 7 der Datenschutzrichtlinie Verkehrsdaten verarbeiten; in diesem Artikel ist festgelegt, dass die für die Verarbeitung Verantwortlichen personenbezogene Daten verarbeiten dürfen, wenn sie mindestens eine der aufgelisteten Rechtsgrundlagen, auch Rechtsgründe genannt, erfüllen.

78.

Ein Beispiel für eine solche Rechtsgrundlage ist Artikel 7 Buchstabe a der Datenschutzrichtlinie, in dem die Einwilligung der betroffenen Person gefordert wird. Wenn beispielsweise ein Online-Einzelhändler Verkehrsdaten im Hinblick auf die Versendung von Werbe- oder Marketingmaterial verarbeiten will, so muss er die Einwilligung der betroffenen Person einholen. Eine weitere Rechtsgrundlage in Artikel 7 kann in bestimmten Fällen die Verarbeitung von Verkehrsdaten zu Sicherheitszwecken erlauben, z.B. durch Sicherheitsfirmen, die Sicherheitsdienste anbieten. Basis hierfür ist Artikel 7 Buchstabe f, in dem festgelegt ist, dass die für die Verarbeitung Verantwortlichen personenbezogene Daten verarbeiten können, wenn „die Verarbeitung erforderlich [ist] zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen ...“. Die Datenschutzrichtlinie enthält keine konkreten Beispiele, in denen die Verarbeitung personenbezogener Daten dieser Anforderung entsprechen würde. Stattdessen wird die Entscheidung von den für die Verarbeitung Verantwortlichen fallweise — oft mit der Zustimmung der nationalen Datenschutzbehörden oder anderer Behörden — getroffen.

79.

Es sollte das Zusammenspiel zwischen Artikel 7 der Datenschutzrichtlinie und dem vorgeschlagenen Artikel 6 Absatz 6a der Datenschutzrichtlinie für elektronische Kommunikation geprüft werden. In dem vorgeschlagenen Artikel 6 Absatz 6a ist festgelegt, unter welchen Umständen die Anforderungen des Artikels 7 Buchstabe f erfüllt wären. Dadurch nämlich, dass Artikel 6 Absatz 6a die Verarbeitung von Verkehrsdaten zur Gewährleistung der Netz- und Informationssicherheit erlaubt, ermöglicht er eine solche Verarbeitung im berechtigten Interesse des für die Verarbeitung Verantwortlichen.

80.

Wie nachstehend erläutert wird, hält der EDSB den vorgeschlagenen Artikel 6 Absatz 6a weder für notwendig noch für sinnvoll. Tatsächlich muss aus rechtlicher Sicht im Grunde nicht festgelegt werden, ob eine bestimmte Art der Datenverarbeitungstätigkeit — in diesem Fall die Verarbeitung von Verkehrsdaten zu Sicherheitszwecken — den Anforderungen von Artikel 7 Buchstabe f der Datenschutzrichtlinie entspricht oder nicht, was nach Artikel 7 Buchstabe a die Einwilligung der betroffenen Person erforderlich machen kann. Wie zuvor bereits festgestellt, erfolgt die Bewertung normalerweise durch die für die Verarbeitung Verantwortlichen, d.h. auf der Umsetzungsebene durch die Unternehmen in Konsultation mit den Datenschutzbehörden und bei Bedarf durch die Gerichte. Generell ist der EDSB der Auffassung, dass in bestimmten Fällen die rechtmäßige Verarbeitung von Verkehrsdaten zu Sicherheitszwecken, sofern sie die Grundrechte und Grundfreiheiten der betroffenen Personen nicht gefährdet, wahrscheinlich den Anforderungen von Artikel 7 Buchstabe f der Datenschutzrichtlinie entspricht und daher durchgeführt werden kann. Außerdem gibt es in der Datenschutzrichtlinie und der Datenschutzrichtlinie für elektronische Kommunikation kein weiteres Beispiel dafür, dass bestimmte Arten der Datenverarbeitungstätigkeit, die den Anforderungen von Artikel 7 Buchstabe f entsprechen würden, herausgegriffen oder besonders behandelt werden, und es hat keinen nachgewiesenen Bedarf für eine solche Ausnahmeregelung gegeben. Wie oben dargelegt, zeigt sich im Gegenteil, dass sich diese Art der Tätigkeit unter vielen Umständen bequem in den vorhandenen Text einpassen würde. Daher ist eine Rechtsvorschrift zur Bestätigung dieser Bewertung im Grunde unnötig.

81.

Wenngleich sie — wie oben erklärt — unnötig ist, so ist doch hervorzuheben, dass die vom EP angenommene Abänderung 181 in gewissem Maße unter Berücksichtigung der in den Datenschutzvorschriften verankerten Grundsätze des Schutzes der Privatsphäre und des Datenschutzes verfasst wurde. In der Abänderung 181 des EP könnten die Interessen des Datenschutzes und des Schutzes der Privatsphäre noch weiter behandelt werden, z. B. indem der Passus „in bestimmten Fällen“ aufgenommen wird, um eine selektive Anwendung dieses Artikels zu gewährleisten, oder indem ein spezieller Aufbewahrungszeitraum eingeführt wird.

82.

Abänderung 181 enthält einige positive Elemente. In ihr wird bestätigt, dass die Verarbeitung im Einklang mit allen anderen für die Verarbeitung von personenbezogenen Daten geltenden Grundsätzen des Datenschutzes stehen sollte („Unbeschadet der Einhaltung der Vorschriften […] der Richtlinie 95/46/EG und […] dieser Richtlinie“). Außerdem erlaubt Abänderung 181 zwar die Verarbeitung von Verkehrsdaten zu Sicherheitszwecken, doch findet sie einen Mittelweg zwischen den Interessen der Einrichtung, die Verkehrsdaten verarbeitet, und den Interessen der Personen, deren Daten verarbeitet werden, so dass eine solche Datenverarbeitung nur erfolgen kann, wenn die Interessen der Einrichtung, die die Daten verarbeitet, nicht die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen („sofern nicht das Interesse oder die geschützten Grundrechte und Grundfreiheiten der betroffenen Person überwiegen“). Diese Anforderung ist insofern wesentlich, als sie die Verarbeitung von Verkehrsdaten in bestimmten Fällen zulassen kann; sie würde einer Einrichtung aber nicht die Verarbeitung von Verkehrsdaten en bloc ermöglichen.

83.

Die vom Rat überarbeitete Fassung dieser Abänderung enthält lobenswerte Elemente wie die Beibehaltung der Formulierung „strikt notwendig“, die den begrenzten Anwendungsbereich dieses Artikels verdeutlicht. In der Version des Rates sind jedoch die obengenannten Garantien für den Datenschutz und den Schutz der Privatsphäre gestrichen. Wenn auch im Prinzip die allgemeinen Datenschutzvorschriften gelten, ganz gleich, ob in jedem Fall eine spezielle Bezugnahme erfolgt, so kann die Ratsversion von Artikel 6 Absatz 6a doch so ausgelegt werden, dass uneingeschränkter Ermessensspielraum für die Verarbeitung von Verkehrsdaten gewährt wird, ohne dass Garantien für den Datenschutz oder den Schutz der Privatsphäre gegeben werden, wie sie bei der Verarbeitung von Verkehrsdaten stets gelten. Daher könnte argumentiert werden, dass Verkehrsdaten gesammelt, gespeichert und anderweitig genutzt werden könnten, ohne dass sie den Grundsätzen des Datenschutzes und den besonderen Verpflichtungen unterliegen, die ansonsten für die Verantwortlichen gelten, wie z. B. der Qualitätsgrundsatz oder die Verpflichtung zu einer fairen und rechtmäßigen Verarbeitung und zur Wahrung der Vertraulichkeit und Sicherheit der Daten. Da keine Bezugnahme auf geltende Datenschutzgrundsätze, die eine zeitliche Begrenzung der Speicherung von Informationen auferlegen, oder auf spezielle Fristen innerhalb des Artikels erfolgt, kann die Version des Rates zudem dahin gehend ausgelegt werden, dass sie die Sammlung und Verarbeitung von Verkehrsdaten zu Sicherheitszwecken auf unbestimmte Zeit ermöglicht.

84.

Darüber hinaus hat der Rat den Schutz der Privatsphäre in einigen Teilen des Textes abgeschwächt, indem er den Wortlaut potenziell weiter gefasst hat. So wurde beispielsweise der Bezug auf die „im berechtigten Interesse des für die Verarbeitung Verantwortlichen“ gestrichen, was Bedenken darüber aufkommen lässt, welche Arten von Einrichtungen von dieser Ausnahme Gebrauch machen könnten. Es muss unbedingt vermieden werden, dass irgendein Nutzer oder eine juristische Person aus dieser Änderung Nutzen ziehen kann.

85.

Die jüngsten Erfahrungen im EP und im Rat zeigen, dass es schwierig ist, gesetzlich festzulegen, in welchem Umfang und unter welchen Bedingungen die Verarbeitung von Verkehrsdaten zu Sicherheitszwecken rechtmäßig erfolgen kann. Wahrscheinlich wird keiner der bestehenden oder künftigen Artikel die offenkundigen Risiken einer allzu breiten Anwendung der Ausnahmeregelung aus anderen als reinen Sicherheitsgründen oder einer Anwendung der Ausnahmeregelung durch Einrichtungen, die nicht in den Genuss dieser Ausnahmeregelung kommen sollten, ausräumen. Das soll nicht heißen, dass eine solche Verarbeitung auf keinen Fall stattfinden darf. Ob und in welchem Umfang sie erfolgen könnte, lässt sich aber vielleicht besser auf der Durchführungsebene beurteilen. Anbieter, die eine solche Verarbeitung planen, sollten den Umfang und die Bedingungen mit den Datenschutzbehörden und eventuell mit der Datenschutzgruppe „Artikel 29“ erörtern. Alternativ dazu könnte die Datenschutzrichtlinie für elektronische Kommunikation einen Artikel umfassen, der die Verarbeitung von Verkehrsdaten zu Sicherheitszwecken gestattet, sofern die Datenschutzbehörden dies ausdrücklich genehmigt haben.

86.

Unter Berücksichtigung einerseits der Risiken, die Artikel 6 Absatz 6a für die Grundrechte, den Datenschutz und die Privatsphäre der Bürger birgt, und andererseits der Tatsache, dass — wie in dieser Stellungnahme dargelegt — dieser Artikel 6 Absatz 6a aus rechtlicher Sicht unnötig ist, ist der EDSB zu dem Schluss gelangt, dass es am besten wäre, den vorgeschlagenen Artikel 6 Absatz 6a gänzlich zu streichen.

87.

Falls gegen die Empfehlung des EDSB ein Text im Sinne einer der derzeitigen Fassungen von Artikel 6 Absatz 6a angenommen wird, sollte er auf jeden Fall die oben erörterten Datenschutzgarantien enthalten. Zudem sollte er in passender Weise in die bestehende Struktur von Artikel 6 integriert werden — am besten als neuer Absatz 2a.

88.

Das EP hat Abänderung 133 angenommen, die den Anbietern von Internetzugängen und anderen juristischen Personen wie Verbraucherverbänden die Möglichkeit einräumt, gegen Verstöße gegen die Bestimmungen der Datenschutzrichtlinie für elektronische Kommunikation gerichtlich vorzugehen (19). Leider wurde diese Abänderung weder von der Kommission noch vom Rat akzeptiert. Der EDSB betrachtet diese Abänderung als sehr positiv und empfiehlt, sie beizubehalten.

89.

Um die Bedeutung dieser Abänderung zu verstehen, muss man sich bewusst machen, dass im Bereich des Schutzes der Privatsphäre und des Datenschutzes der Schaden, der einer einzelnen Person zugefügt wird, für sie allein in der Regel nicht ausreicht, um gerichtliche Schritte einzuleiten. Einzelne Personen klagen normalerweise nicht vor Gericht, weil sie Spams erhalten haben oder weil ihr Name fälschlicherweise in ein Verzeichnis aufgenommen wurde. Die genannte Abänderung würde Verbraucherverbänden und Gewerkschaften, die Verbraucherinteressen vertreten, ermöglichen, im Namen der Verbraucher Sammelklagen bei Gericht einzureichen. Eine größere Vielfalt der Durchsetzungsmechanismen würde wahrscheinlich ebenfalls zu einer stärkeren Einhaltung der Vorschriften führen und wäre daher im Interesse einer wirksamen Anwendung der Bestimmungen der Datenschutzrichtlinie für elektronische Kommunikation.

90.

Es gibt Beispiele innerhalb des Rechtsrahmens einiger Mitgliedstaaten, die bereits die Möglichkeit von Sammelklagen vorsehen, damit Verbraucher- oder Interessengruppen Schadenersatzansprüche gegen den Verursacher des Schadens geltend machen können.

91.

Außerdem berechtigen die Wettbewerbsgesetze einiger Mitgliedstaaten (20) Verbraucher- und Interessengruppen (neben den Mitbewerbern) dazu, gegen die zuwiderhandelnde Einrichtung vor Gericht zu klagen. Hinter diesem Ansatz steht der Gedanke, dass Unternehmen, die gegen die Wettbewerbsgesetze verstoßen, wahrscheinlich einen Vorteil daraus ziehen können, da Verbraucher, die nur geringen Schaden erleiden, im Allgemeinen kaum vor Gericht klagen werden. Diese Logik kann sinngemäß auch auf den Bereich des Datenschutzes und des Schutzes der Privatsphäre übertragen werden.

92.

Wichtiger noch — wie bereits gesagt — ist es, dass dadurch, dass juristische Personen wie Verbraucherverbände und Anbieter öffentlicher elektronischer Kommunikationsdienste das Recht erhalten, vor Gericht zu klagen, die Position der Verbraucher gestärkt und die generelle Einhaltung der Datenschutzvorschriften gefördert wird. Bei einem höheren Risiko gerichtlicher Schritte gegen sie werden zuwiderhandelnde Unternehmen wahrscheinlich stärker auf die Einhaltung der Datenschutzvorschriften achten, wodurch sich langfristig das Niveau des Schutzes der Privatsphäre und des Verbraucherschutzes erhöht. Aus all diesen Gründen ruft der EDSB das EP und den Rat auf, eine Bestimmung anzunehmen, die es juristischen Personen ermöglicht, gegen Verstöße gegen gleich welche Bestimmung der Datenschutzrichtlinie für elektronische Kommunikation gerichtlich vorzugehen.

93.

Der Gemeinsame Standpunkt des Rates, die erste Lesung des EP und der geänderte Vorschlag der Kommission enthalten in unterschiedlichem Maße positive Elemente, die dazu dienen würden, den Schutz der Privatsphäre und der personenbezogenen Daten natürlicher Personen zu verstärken.

94.

Nach Auffassung des EDSB besteht hier aber Raum für Verbesserungen, insbesondere beim Gemeinsamen Standpunkt des Rates, in den leider einige Abänderungen des EP, die zur Gewährleistung eines angemessenen Schutzes der Privatsphäre und der personenbezogenen Daten natürlicher Personen beitragen sollten, nicht übernommen wurden. Der EDSB fordert das EP und den Rat nachdrücklich auf, die in der ersten Lesung des EP enthaltenen Garantien für den Schutz der Privatsphäre wiederherzustellen.

95.

Außerdem hält es der EDSB für sinnvoll, einige Bestimmungen der Richtlinie zu straffen. Dies gilt insbesondere für die Bestimmungen über die Sicherheitsverletzungen, da nach Ansicht des EDSB der volle Nutzen der Benachrichtigung über Verletzungen am besten erreicht wird, wenn von Anfang an der richtige Rechtsrahmen festgelegt wird. Ferner hält es der EDSB für angebracht, den Wortlaut einiger Bestimmungen der Richtlinie zu verbessern und zu präzisieren.

96.

Vor diesem Hintergrund fordert der EDSB das EP und den Rat nachdrücklich auf, ihre Bemühungen um die Verbesserung und Präzisierung einiger Bestimmungen der Datenschutzrichtlinie für elektronische Kommunikation zu intensivieren und gleichzeitig die vom EP in erster Lesung angenommenen Abänderungen wieder aufzunehmen, die auf die Gewährleistung eines angemessenen Niveaus des Schutzes der Privatsphäre und des Datenschutzes abzielen. Zu diesem Zweck werden nachstehend unter den Nummern 97, 98, 99 und 100 die bestehenden Probleme zusammengefasst und einige Empfehlungen und Formulierungsvorschläge unterbreitet. Der EDSB ruft alle beteiligten Seiten auf, diesen Empfehlungen und Vorschlägen Rechnung zu tragen, da sich die Datenschutzrichtlinie für elektronische Kommunikation auf dem Weg zu ihrer endgültigen Annahme befindet.

97.

Das Europäische Parlament, die Kommission und der Rat haben jeweils unterschiedliche Konzepte für die Meldung von Sicherheitsverletzungen angenommen. Unterschiede zwischen den drei Modellen bestehen unter anderem im Hinblick auf die Einrichtungen, für die die Pflicht, der Standard oder der Auslöser für die Benachrichtigung gelten soll, die betroffenen Personen, die Anspruch auf eine Benachrichtigung haben, usw. Daher müssen das EP und der Rat sich mit allen Kräften für einen soliden Rechtsrahmen in Bezug auf Sicherheitsverletzungen einsetzen. Zu diesem Zweck sollten das EP und der Rat Folgendes vorsehen:

98.

Kommunikationsdienste werden der Öffentlichkeit häufig nicht über öffentliche Netze zur Verfügung gestellt, sondern über privat betriebene Netze (z. B. Hot Spots in Hotels und Flughäfen), die wohl nicht unter diese Richtlinie fallen. Das EP hat die Abänderung 121 (Artikel 3) angenommen, durch die der Anwendungsbereich der Richtlinie erweitert wird, damit öffentliche und private Kommunikationsnetze sowie öffentlich zugängliche private Netze erfasst werden. In diesem Zusammenhang sollten das EP und der Rat folgende Maßnahmen einleiten:

99.

Das EP hat in erster Lesung die Abänderung 181 (Artikel 6 Absatz 6a) angenommen, die die Verarbeitung von Verkehrsdaten zu Sicherheitszwecken erlaubt. Der Gemeinsame Standpunkt des Rates enthält eine neue Version, in der einige der Garantien für den Schutz der Privatsphäre abgeschwächt werden. In diesem Zusammenhang empfiehlt der EDSB dem EP und dem Rat, Folgendes vorzusehen:

100.

Das Parlament hat die Abänderung 133 (Artikel 13 Absatz 6) angenommen, die es juristischen Personen ermöglicht, gegen Verstöße gegen die Bestimmungen der Richtlinie gerichtlich vorzugehen. Leider wurde sie vom Rat nicht übernommen. Der Rat und das EP sollten Folgendes vorsehen:

101.

In allen obengenannten Belangen müssen sich das EP und der Rat der Herausforderung stellen, geeignete Vorschriften und Bestimmungen auszuarbeiten, die praktikabel und funktional sind und das Recht der Bürger auf Schutz der Privatsphäre und Datenschutz achten. Der EDSB hofft, dass sich die beteiligten Seiten nach Kräften bemühen werden, diese Herausforderung zu bewältigen, und dass diese Stellungnahme einen Beitrag dazu leisten kann.

6.6.2009   

DE

Amtsblatt der Europäischen Union

C 128/42

1.

Die Kommission hat am 13. November 2008 einen Vorschlag für eine Richtlinie des Rates zur Verpflichtung der Mitgliedstaaten, Mindestvorräte an Erdöl und/oder Erdölerzeugnissen zu halten (nachstehend „Vorschlag“ genannt), angenommen (3).

2.

Dieser Vorschlag zielt darauf ab, durch zuverlässige und transparente Mechanismen, die auf der Solidarität der Mitgliedstaaten beruhen, ein hohes Maß an Sicherheit bei der Erdölversorgung in der Gemeinschaft zu gewährleisten; ferner sollen Mindestvorräte an Erdöl und/oder Erdölerzeugnissen sichergestellt und die notwendigen Verfahren vorgesehen werden, um einer starken Verknappung standhalten zu können.

3.

Der Vorschlag wurde dem Europäischen Datenschutzbeauftragten (EDSB) am 14. November 2008 von der Kommission zwecks Konsultation gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 übermittelt. Der EDSB begrüßt, dass er im Einklang mit Artikel 28 der Verordnung (EG) Nr. 45/2001 zu dieser Frage konsultiert wird, und nimmt zur Kenntnis, dass im Einleitungsteil des Vorschlags auf diese Konsultation hingewiesen wird.

4.

Die Kommission hat den EDSB vor der Annahme des Vorschlags informell zu einem bestimmten Artikel des Vorschlagentwurfs (zum aktuellen Artikel 19) konsultiert. Der EDSB hat dies begrüßt, da er hierdurch Gelegenheit hatte, noch vor der Annahme des Vorschlags durch die Kommission einige Empfehlungen zu geben.

5.

Die mit dem Kommissionsvorschlag aufgeworfene Fragestellung macht einmal mehr deutlich, dass die Datenschutzvorschriften durchgehend im Auge behalten werden sollten. In einem Fall, in dem es um die Mitgliedstaaten und ihre Verpflichtung geht, Erdöl-Sicherheitsvorräte zu bilden, die größtenteils Eigentum juristischer Personen sind, liegt das Thema Verarbeitung personenbezogener Daten nicht unbedingt auf der Hand; aber auch wenn diese Verarbeitung als solche nicht vorgesehen ist, kann sie durchaus trotzdem erfolgen. Auf jeden Fall sollte geprüft werden, wie wahrscheinlich es ist, dass personenbezogene Daten verarbeitet werden, um dann entsprechend tätig zu werden.

6.

Gegenwärtig sind in dem Richtlinienvorschlag im Wesentlichen zwei Tätigkeiten vorgesehen, bei denen es zu einer Verarbeitung personenbezogener Daten kommen könnte. Die erste Tätigkeit besteht darin, dass die Mitgliedstaaten Informationen zu den Erdölvorräten sammeln und diese Informationen anschließend der Kommission übermitteln. Die zweite Tätigkeit steht mit der Befugnis der Kommission im Zusammenhang, Kontrollen in den Mitgliedstaaten vorzunehmen. Die Informationen, die über die Eigentümer von Erdölvorräten gesammelt werden, könnten personenbezogene Daten, wie beispielsweise Namen und Kontaktdaten der Direktoren der betreffenden Unternehmen, beinhalten. Das Sammeln dieser Informationen und ihre anschließende Übermittlung an die Kommission würde eine Verarbeitung personenbezogener Daten darstellen; somit wären entweder die einzelstaatlichen Rechtsvorschriften zur Umsetzung der Richtlinie 95/46/EG oder die Verordnung (EG) Nr. 45/2001 anwendbar, je nachdem, in welcher Stelle die Daten tatsächlich verarbeitet werden. Auch die der Kommission übertragene Befugnis, zur Durchführung von Kontrollen der Sicherheitsvorräte in den Mitgliedstaaten, mit der die Befugnis zum generellen Sammeln von Informationen einhergeht, könnte die Erhebung und somit auch Verarbeitung personenbezogener Daten einschließen.

7.

Bei der informellen Konsultation, die lediglich die Bestimmung über die Kontrollbefugnis der Kommission betraf, hat der EDSB der Kommission empfohlen, festzustellen, ob im Zusammenhang mit den von ihr vorgenommenen Kontrollen die Verarbeitung personenbezogener Daten nur gelegentlich erfolgen würde oder ob sie regelmäßig erfolgen und dem Kontrollzweck dienen würde. Je nach dem Ergebnis dieser Beurteilung wurden zwei Ansätze vorgeschlagen.

8.

Für den Fall, dass die Verarbeitung personenbezogener Daten nicht beabsichtigt ist und somit nur gelegentlich erfolgt, hat der EDSB empfohlen, erstens ausdrücklich auszuschließen, dass die Verarbeitung personenbezogener Daten den Zwecken der von der Kommission durchgeführten Kontrollen dient, und zweitens eine Erklärung dahin gehend abzugeben, dass personenbezogene Daten, die die Kommission im Laufe ihrer Kontrollen vorfindet, weder erhoben noch berücksichtigt werden und, sollten sie versehentlich erhoben werden, unverzüglich wieder gelöscht werden. Außerdem hat der EDSB vorgeschlagen, zur weiteren Absicherung eine Bestimmung aufzunehmen, wonach die vorliegende Richtlinie die in der Richtlinie 95/46/EG und der Verordnung (EG) Nr. 45/2001 enthaltenen Datenschutzvorschriften unberührt lässt.

9.

Für den Fall jedoch, dass vorgesehen ist, im Zusammenhang mit den von der Kommission durchzuführenden Kontrollen regelmäßig personenbezogene Daten zu verarbeiten, hat der EDSB der Kommission empfohlen, einen Passus aufzunehmen, der das Ergebnis einer ordnungsgemäßen datenschutzrechtlichen Beurteilung widerspiegelt. Dieser Passus sollte folgendes Elemente beinhalten: (I) den tatsächlichen Zweck der Datenverarbeitung, (II) die Notwendigkeit der Verarbeitung der Daten zur Erreichung dieses Zwecks und (III) die Wahrung der Verhältnismäßigkeit bei der Datenverarbeitung.

10.

Die informelle Empfehlung des EDSB betraf zwar lediglich die Kontrollbefugnis der Kommission, seine Bemerkungen galten jedoch in gleichem Maße für die andere im Richtlinienvorschlag dargelegte Haupttätigkeit, nämlich die von den Mitgliedstaaten durchzuführende Erhebung von Informationen und deren Übermittlung an die Kommission.

11.

Aus der endgültigen Fassung des Richtlinienvorschlags geht deutlich hervor, dass nach Auffassung der Kommission für die Zwecke der Richtlinie keine Verarbeitung personenbezogener Daten vorgesehen ist. Der EDSB nimmt mit Genugtuung zur Kenntnis, dass der von ihm vorgeschlagene erste Ansatz in vollem Umfang im Vorschlag berücksichtigt wird.

12.

Deshalb unterstützt der EDSB die Art und Weise, in der die Kommission in dem Richtlinienvorschlag die Einhaltung der Datenschutzbestimmungen sichergestellt hat. In dieser Stellungnahme des EDSB werden im Folgenden lediglich einige Empfehlungen zu einzelnen Aspekten des Vorschlags gegeben.

13.

Artikel 15 des Richtlinienvorschlags betrifft die Verpflichtung der Mitgliedstaaten, der Kommission wöchentlich Statistiken über die Höhe der kommerziellen Vorräte in ihrem Hoheitsgebiet zu übermitteln. Diese Informationen werden normalerweise nur wenige personenbezogene Daten enthalten. Sie könnten jedoch Informationen über die natürlichen Personen enthalten, die Eigentümer der Ölbestände sind oder für eine juristische Person arbeiten, die Eigentümerin der Ölbestände ist. Um zu verhindern, dass die Mitgliedstaaten der Kommission derartige Informationen übermitteln, heißt es in Artikel 15 Absatz 1, dass die Mitgliedstaaten bei der Übermittlung der Statistiken „keine Namen von Bestandseigentümern an(geben).“ Zwar sollte man sich der Tatsache bewusst sein, dass das Weglassen eines Namens nicht immer dazu führt, dass die Daten nicht mehr zu einer natürlichen Person rückverfolgbar sind, aber im gegenwärtigen Fall (Statistiken über den Umfang der Erdöllagerbestände) scheint dieser ergänzende Passus ausreichend, um zu gewährleisten, dass keine personenbezogenen Daten an die Kommission übermittelt werden.

14.

Die Kontrollbefugnis der Kommission ist in Artikel 19 des Richtlinienvorschlags geregelt. Aus dem Artikel geht eindeutig hervor, dass die Kommission dem oben in Nummer 8 erläuterten ersten Ansatz gefolgt ist. Nach dem genannten Artikel wird mit den Kontrollmaßnahmen der Kommission keine Verarbeitung personenbezogener Daten bezweckt. Selbst wenn solche Daten von der Kommission vorgefunden werden, dürfen sie nicht berücksichtigt und müssen, sollten sie versehentlich erfasst werden, unverzüglich gelöscht werden. Um den Wortlaut hier an den Wortlaut der Datenschutzbestimmungen anzupassen und um Missverständnissen vorzubeugen, empfiehlt der EDSB, in Absatz 2 Satz 1 das Wort „Erfassung“ durch „Verarbeitung“ zu ersetzen.

15.

Der EDSB nimmt mit Genugtuung zur Kenntnis, dass der Vorschlag nun auch zur generellen Absicherung eine Klausel über die einschlägigen Rechtsvorschriften zum Datenschutz enthält. In Artikel 20 werden die Mitgliedstaaten sowie die Kommission und die anderen Organe und Einrichtungen der Gemeinschaft deutlich auf die gemäß der Richtlinie 95/46/EG bzw. der Verordnung (EG) Nr. 45/2001 bestehenden Pflichten hingewiesen. In der Klausel werden darüber hinaus die Rechte hervorgehoben, die betroffene Personen gemäß diesen Vorschriften haben, wie beispielsweise das Recht, Einspruch gegen die Verarbeitung sie betreffender Daten einzulegen, das Recht auf Auskunft über die sie betreffenden Daten und das Recht auf Berichtigung sie betreffender Daten, sofern diese fehlerhaft sind. Eines wäre zur Positionierung dieser Bestimmung im Vorschlag vielleicht anzumerken. Aufgrund ihrer allgemeinen Natur ist diese Bestimmung nicht allein auf die Kontrollbefugnis der Kommission beschränkt. Der EDSB empfiehlt deshalb, diesen Artikel in den ersten Teil der Richtlinie aufzunehmen und ihn beispielsweise hinter Artikel 2 einzufügen.

16.

Auch in Erwägungsgrund 25 wird auf die Richtlinie 95/46/EG und die Verordnung (EG) Nr. 45/2001 Bezug genommen. Das Ziel dieses Erwägungsgrunds ist jedoch wenig klar, da in ihm die Rechtsvorschriften zum Datenschutz nur als solche — ohne jegliche weitere ergänzende Angaben — erwähnt werden. In dem Erwägungsgrund sollte eindeutig festgehalten werden, dass die genannten Rechtsvorschriften durch die Bestimmungen der Richtlinie unberührt bleiben. Darüber hinaus scheint der letzte Satz des Erwägungsgrunds zu implizieren, dass in den Rechtsvorschriften zum Datenschutz ausdrücklich vorgesehen ist, dass versehentlich gesammelte Daten von den für die Datenverarbeitung Verantwortlichen unverzüglich gelöscht werden müssen. Dies kann zwar als Konsequenz aus den betreffenden Regeln folgen, aber eine solche Verpflichtung ist in den genannten Rechtsvorschriften nicht zu finden. Es gilt als allgemeiner Grundsatz für den Datenschutz, dass personenbezogene Daten nicht länger gespeichert werden, als es für den Zweck erforderlich ist, zu dem sie erhoben oder weiterverarbeitet wurden. Wenn der erste Teil des Erwägungsgrunds in der vorgeschlagenen Weise angepasst wird, ist der letzte Satz überflüssig. Der EDSB schlägt deshalb vor, in Erwägungsgrund 25 den letzten Satz zu streichen.

17.

Der EDSB unterstützt die Art und Weise, in der die Kommission in dem Richtlinienvorschlag die Einhaltung der Datenschutzbestimmungen sichergestellt hat.

18.

In Bezug auf einzelne Aspekte des Vorschlags empfiehlt der EDSB Folgendes:

6.6.2009   

DE

Amtsblatt der Europäischen Union

C 128/45

6.6.2009   

DE

Amtsblatt der Europäischen Union

C 128/46