Ethische und politische Aspekte der globalen Mobilität und Sicherheit RISE Hochrangiger Workshop, Brüssel, 26. März 2010

Transkript

1 Ethische und politische Aspekte der globalen Mobilität und Sicherheit RISE Hochrangiger Workshop, Brüssel, 26. März 2010 Sitzung II Grundrechte, Datenschutz und Sicherheit Ein Datenschutzrahmen für das Stockholmer Programm Peter Hustinx Europäischer Datenschutzbeauftragter Sehr geehrte Damen und Herren, zunächst einmal möchte ich Ihnen sagen, dass ich mich sehr freue, an dieser Sitzung teilzunehmen. Ich bedaure, dass ich gestern nicht an der gesamten Tagung teilnehmen konnte und auch heute nicht der gesamten Tagung beiwohnen kann. Wir unterstützen jedoch das RISE-Projekt, und wir verfolgen seine Entwicklung. Meine Mitarbeiter haben an Tagungen in aller Welt teilgenommen, so dass Sie sich meiner Unterstützung gewiss sein können. Das Thema, über das ich gebeten wurde heute zu sprechen, ist äußerst umfangreich, und die Zeit ist knapp. Daher habe ich meinen Beitrag in drei Ebenen gegliedert und möchte zu jeder einige Anmerkungen machen. Die wichtigste Ebene ist, dass unter der Ägide des Vertrags von Lissabon, der am 1. Dezember vergangenen Jahres in Kraft trat, das Stockholmer Programm als neues Mehrjahresprogramm für den Bereich Justiz und Inneres für die nächsten fünf Jahre angenommen wurde. Der Vertrag von Lissabon hat zu drei wichtigen Änderungen im institutionellen Rahmen der Union geführt, die tiefgreifenden Einfluss auf das Programm und seine Umsetzung haben. Erste Ebene: Vertrag von Lissabon Die erste wichtige Veränderung ist natürlich, dass die Charta der Grundrechte der Europäischen Union mit dem Recht auf Schutz personenbezogener Daten gemäß

2 Artikel 8 sowohl in der Union als auch in den Mitgliedstaaten bei der Durchführung europäischen Rechts, zu einem verbindlichen Rechtsinstrument erhoben wurde. Diese wichtige Änderung wird im Vertrag selbst hervorgehoben. Die Aufmerksamkeit für Datenschutzfragen wie jene, die Sie bereits heute Morgen erörtert haben, ist so in den Mittelpunkt des Interesses gerückt. Zweitens wurde als institutionelle Änderung die Säulenstruktur abgeschafft, d. h. Verzicht auf die erste, zweite und dritte Säule - das Parlament erhielt gleichwertige Entscheidungsgewalt in den meisten Bereichen, und auch die Rolle der Kommission und die des Rechnungshofs wurde gestärkt. Auf diese Weise gilt nun der normale Rahmen, der vor Inkrafttreten des Vertrags von Lissabon für die erste Säule galt, für alle im Rahmen des Stockholmer Programms erörterten Themen. Vor dem 1. Dezember zählten diese teilweise zur ersten und teilweise zur dritten Säule; ab jetzt sind jedoch insgesamt eine bessere Ausgeglichenheit und daher auch mehr Schutzmaßnahmen im Sinne der Charta der Grundrechte gegeben. Eine dritte, bereits erkennbare institutionelle Veränderung von erheblicher Bedeutung ist die Rolle des Europäischen Parlaments beim Abschluss internationaler Abkommen. Das bedeutet, dass uns im Zusammenhang mit globaler Mobilität und Sicherheit sowie einer besseren Ausgewogenheit von Überlegungen zu Datenschutz und Sicherheit in Europa und weltweit mit dem Vertrag von Lissabon nun ein Rahmen zur Verfügung steht, der deutlich wirksamere Kontroll- und Gegenkontrollmechanismen vorsieht. Dies ist die erste Ebene, deren Bedeutung ich nicht genug betonen kann. Wir sehen dies bereits in der politischen Agenda der Kommission, wir sehen es im Parlament; natürlich haben Sie alle davon gehört, dass das Parlament bereits von seiner neuen Befugnis bei der Entscheidung über internationale Abkommen Gebrauch gemacht hat. Es hat das SWIFT-Abkommen abgelehnt und damit ein wichtiges Zeichen dafür gesetzt, dass sich auch in Abkommen eine angemessene Ausgewogenheit mit allen erforderlichen Schutzmaßnahmen widerspiegeln sollte. 2

3 Zweite Ebene: Stockholmer Programm Hierbei handelt es sich um ein sehr umfangreiches Dokument, und ich erwarte in den nächsten Monaten einen Aktionsplan mit ganz unterschiedlichen Maßnahmen. Er wird mehr als 150 verschiedene Maßnahmen umfassen. Wenn Sie das Stockholmer Programm durchgehen, enthält auch dieses mehrere wichtige Signale. Ich möchte einige davon hervorheben, die für die Gespräche bei dieser Konferenz von Bedeutung sind. Schon am Anfang enthält es einige kohärente Aussagen zur systematischen Entwicklung von Maßnahmen und der Bewertung der Wirksamkeit von Rechtsvorschriften. Es wird betont, dass bestehende Maßnahmen, die bereits angenommen wurden, wirksam und konsistent umgesetzt werden müssen, und dass vorhandene Instrumente im Hinblick darauf zu bewerten sind, dass ihre Umsetzung mit voller Wirksamkeit erfolgt. Zu häufig haben wir in der Vergangenheit beobachtet, dass Maßnahmen zu schnell angenommen wurden, ohne Berücksichtigung des bereits Vorhandenen. Ein weiteres deutliches Signal, bereits von der neuen Kommission bestätigt, beinhaltet, dass alle Vorschläge für neue Rechtsvorschriften erst vorgelegt werden, nachdem geprüft wurde, dass die Grundsätze der Verhältnismäßigkeit und die Grundrechte respektiert sind. Außerdem wird eine wirksame Abschätzung der Auswirkungen angestrebt. Im Grunde beinhaltet also bereits die Einleitung des Stockholmer Programms das deutliche Zeichen, dass Gesetzgebung und Politik auf diesen Grundsätzen sowie dem Grundsatz der Wirksamkeit basieren sollten. Es gibt jedoch auch noch ein zweites Kapitel, in dem es um Grundrechte im Allgemeinen geht, sowie einen ganzen Absatz zum Schutz der Rechte der Bürger in der Informationsgesellschaft. Dort werden Datenschutzgrundsätze und Methoden zu ihrer wirksameren Umsetzung ausdrücklich hervorgehoben. Hierzu gehört auch die Ankündigung, eine Aktualisierung des derzeitigen rechtlichen Rahmens anzustreben. Ich werde auf dieses Thema zurückkommen und einen Ausblick auf die Zukunft geben, während die Kommission sich mit dem Thema befasst. 3

4 Von ebenso großer Bedeutung und tiefer im Stockholmer Programm verankert ist die Ankündigung einer Strategie für das Informationsmanagement, die tatsächlich die erste im Rahmen des Stockholmer Programms zu erbringende Leistung war. Im Dezember letzten Jahres hat die EU eine Strategie für das Informationsmanagement angenommen, die eine systematische Vorgabe für die Entscheidung sowie für die Analyse und Bewertung der Leistung vorhandener und neuer Informationssysteme bietet. Dies war auch die Gelegenheit sicherzustellen, dass Überlegungen zu Privatsphäre und Datenschutz von Anfang an Bestandteil des Prozesses sind. Dies sind die wesentlichen Aussagen, und ich bin der schwedischen Ratspräsidentschaft für die Rolle, die sie bei der Erarbeitung dieses Informationsmodells gespielt hat, zu Dank verpflichtet. Sie hat zu einer recht stabilen Aktivität zur Bewertung der vorhandenen Systeme und zur Festlegung einer Reihe von Anforderungen an künftige Systeme beigetragen. Das bedeutet, dass die Erörterung, beispielsweise des EU-PNR-Systems, das vor einigen Jahren vorgeschlagen, über das jedoch noch nicht entschieden wurde, mit hoher Wahrscheinlichkeit wiederaufgenommen wird, diesmal jedoch gemäß den Grundsätzen, die im Stockholmer Programm betont werden, einschließlich der stabilen Bewertung der Auswirkungen auf Grundrechte und Datenschutz und einschließlich aller Grundsätze dieser Informationsstrategie. Kurz noch einige Stichpunkte, die ich hervorheben möchte: ein solides Datenschutzregime, das mit der Strategie für den Schutz personenbezogener Daten in Einklang steht; eine gezielte Datenerhebung, damit sowohl die Grundrechte geschützt werden als auch eine Informationsüberflutung der Behörden vermieden wird usw. Und dies ist einer der Gründe, warum ich den Entwurf des Stockholmer Programms und auch das Ergebnis als entscheidend begrüßt habe. Es gibt auch einige Projekte, bei denen diese Grundsätze auf die Probe gestellt werden. Ich möchte jedoch betonen, dass der Maßstab, die Bewertungskriterien, vorhanden sind. Dritte Ebene: Wirksamerer Datenschutz Im Rahmen der dritten Ebene möchte ich einige der allgemeinen Trends aufzeigen, die ich erkenne, und die sich auch in den umfangreichen Beiträgen zur Anhörung der 4

5 Kommission widerspiegeln. Ich bin natürlich nicht in der Lage vorherzusagen, was passieren wird, aber ich wäre nicht überrascht, wenn sich vieles, von dem, was wir sehen und was Frau Reding bei verschiedenen Gelegenheiten angesprochen hat, in den Vorschlägen der Kommission wiederfinden würde. Hier sehe ich einige allgemeine Trends und drei spezifische Aspekte. In Bezug auf die allgemeinen Trends sehen wir zunächst mehr horizontale Ansätze und einen umfassenderen allgemeinen Rahmens. Die Säulen sind verschwunden. Jetzt ist der Zeitpunkt gekommen, einen kohärenten horizontalen Ansatz einzuführen. Zweitens liegt der Schwerpunkt nicht auf der Neuerfindung der Grundsätze. Sie bestehen bereits seit 25 oder 30 Jahren und wurden immer wieder bestätigt. Der Schwerpunkt wird stattdessen darauf liegen sicherzustellen, dass diese Grundsätze in einem sich ändernden Umfeld der IKT und der Informationsgesellschaft wirksamer angewendet werden. Und hier sollte auch der Hauptschwerpunkt liegen. Auch der globale Schutz könnte ein Schwerpunkt sein, und es sind verschiedene Antworten denkbar. Es könnte teilweise um Investitionen in echte globale Standards gehen, es könnte eine Klarstellung der europäischen Gerichtsbarkeit sein. Auch eine Vereinfachung internationaler Datenflüsse ist denkbar: die Mechanismen bindender Unternehmensregeln könnten beispielsweise sehr gut Teil der Gesamtstrategie sein. Lassen Sie mich am Rande anmerken, dass der vorhandene europäische Rahmen bereits auf dem Grundsatz beruht, dass in allen Fällen, in denen der für die Verarbeitung Verantwortliche seinen Sitz in Europa hat, die europäischen Standards weltweit gelten, unabhängig davon, wo die Daten sich befinden. Dies ist also bereits ein sehr wichtiges Merkmal. Wir müssen vielleicht noch einige zusätzliche Elemente einführen, aber wir sind auf dem richtigen Weg. Allgemein wird der Schwerpunkt auf Technologie und integriertem Datenschutz liegen. Die Branche und Entwickler werden gebeten, möglicherweise sogar dazu verpflichtet werden, dafür zu sorgen, dass Datenschutzfunktionen in Systeme integriert werden. Hierbei handelt es sich um den Ansatz Privacy by Design, d. h. des eingebauten Datenschutzes. Dies bedeutet nicht, dass die rechtlichen 5

6 Schutzmaßnahmen durch technische Schutzmaßnahmen abgelöst werden. Es bedeutet, dass sie sich gegenseitig ergänzen werden und dass wir infolgedessen über einen wirksameren Rahmen verfügen werden. Und dann noch drei spezifische Aspekte: Sie lassen sich alle zu einem Punkt zusammenführen, nämlich dass die drei wichtigsten Akteure im Datenschutz - der für die Verarbeitung Verantwortliche, sei es eine öffentliche Behörde oder ein privates Unternehmen, die von der Verarbeitung betroffene Person und die Aufsichtsbehörde - gestärkt werden müssen, um eine höhere Wirksamkeit zu erzielen. Für mich ergibt sich daraus Entwicklungspotenzial im Verantwortungsbereich des für die Verarbeitung Verantwortlichen: Für die Verarbeitung Verantwortliche sollten mehr Kontrolle haben, und nicht nur verantwortlich gemacht werden, wenn etwas schiefgeht. Sie sollten ihre Arbeit darauf ausrichten, die erforderlichen Maßnahmen zu entwickeln, um die Einhaltung von Vorgaben sowie die Integration von Datenschutzfunktionen sicherzustellen. Diese Erörterung erfolgt im Rahmen des Grundsatzes der Rechenschaftspflicht, was bedeutet, dass die für die Verarbeitung Verantwortlichen nicht nur verantwortlich sein und Vorgaben einhalten sollten, sondern dass sie auch zeigen müssen, dass sie alles getan haben, um die Einhaltung der Vorgaben sicherzustellen. Dies ist eine sehr wichtige Veränderung und ich würde es sehr begrüßen, wenn sie von der Kommission berücksichtigt würde. In Bezug auf die Rechte der von der Verarbeitung betroffenen Personen geht der allgemeine Trend nicht in Richtung Erfindung neuer Rechte, sondern eher in Richtung der wirksameren Wahrung bestehender Rechte. Dabei müssen Unstimmigkeiten in Bezug darauf geklärt werden, wann eine Einwilligung erforderlich ist, und was unter freier Zustimmung verstanden wird. Und schließlich die Rolle der Datenschutzbehörden: sie sind nicht die einzige Instanz zur Gewährleistung der Einhaltung von Vorgaben, aber letztendlich sind sie ein sehr wichtiges Element. Aus diesem Grund sind sie in der Charta ausdrücklich erwähnt. Artikel 8 betont die Notwendigkeit der Überwachung durch eine unabhängige Stelle. 6

7 Der Gerichtshof hat in der vergangenen Woche entschieden, dass Unabhängigkeit völlige Unabhängigkeit bedeutet. Im Zusammenhang mit der Klage der Kommission gegen Deutschland entschied der Gerichtshof daher, dass Deutschland seine Struktur zur Überwachung der Verarbeitung personenbezogener Daten umgestalten muss. Damit wurde ein sehr wirksames Zeichen gesetzt. Dies ist nun ebenfalls Bestandteil der kontinuierlichen Prüfung. Es ist nicht nur Bestandteil der Richtlinie, sondern auch der Charta der Grundrechte. Wir können es als gegeben betrachten, dass Datenschutzbehörden vollkommen unabhängig sein und angemessene Befugnisse erhalten sollten; in einigen Ländern sind sie zu schwach. Ihre Befugnisse und Ressourcen sowie Schutzmaßnahmen für die Unabhängigkeit müssen angeglichen werden. Schließlich müssen sie auch die Möglichkeit erhalten, selbst Prioritäten zu setzen und strategischer zu agieren, um sich auf die Bereiche konzentrieren zu können, in denen die höchsten Risiken bestehen, und nicht durch administrative Aufgaben eingeengt werden, die in Bezug auf die Sicherstellung eines effektiven Schutzes keine volle Wirksamkeit bieten. All dies wird Auswirkungen auf Ihre Interessengebiete haben: Mobilität, Sicherheit und globale Überlegungen. Vielen Dank. 7