11. Fachkonferenz Datenschutz und Datensicherheit DuD 2009 Berlin, 8. Juni 2009 "Datenschutz im Licht des Vertrags von Lissabon und die Konsequenzen für heutige Regelungen" Peter Hustinx Europäischer Datenschutzbeauftragter Sehr geehrte Damen und Herren, Mein Amtskollege, der Bundesdatenschutzbeauftragte Peter Schaar, hat in seiner Rede hervorgehoben, dass der Datenschutz in einer sich verändernden Welt auf dem neuesten Stand gehalten werden und völlig wirksam bleiben muss. Mein Beitrag ist demselben Thema gewidmet, allerdings von einem etwas anderen Blickwinkel aus. Ich werde auf die Entwicklung des Datenschutzes in Europa eingehen, und zwar aus der Sicht der Europäischen Union nach der eventuellen Annahme des Vertrags von Lissabon. 1. Wichtige Entwicklungen Wir leben in aufregenden Zeiten voller Herausforderungen, und auch auf EU-Ebene finden wichtige Entwicklungen statt. Auf institutioneller Ebene sind hier beispielsweise die Wahlen zum Europäischen Parlament zu nennen, die uns noch frisch in Erinnerung sind. Außerdem wird später in diesem Jahr wahrscheinlich eine neue Europäische Kommission ernannt. Natürlich lässt sich nur schwer vorhersagen, wie sich diese institutionellen Ereignisse auf den Schutz personenbezogener Daten in Europa auswirken werden. Daher möchte ich mich auf andere Entwicklungen konzentrieren, die sich direkter auf die Entwicklung des Datenschutzes in unserem Teil der Welt auswirken dürften. Die Europäische Kommission hat am 19. und 20. Mai 2009 eine Konferenz über den Schutz und die Nutzung personenbezogener Daten veranstaltet. Diese
Konferenz gab allen Beteiligten Gelegenheit, ihre Ansichten über den Datenschutz zu äußern, und sie kann als der öffentliche Beginn eines Prozesses gesehen werden, der möglicherweise zur Überarbeitung der Richtlinie 95/46 führen kann. Die Absichten der Kommission sind noch nicht deutlich, aber diese Konferenz wird wahrscheinlich bedeutende Folgen haben. Im Juni wird die Kommission eine Mitteilung über die Zukunft des Raums der Freiheit, der Sicherheit und des Rechts vorlegen. Darin wird ein Gleichgewicht zwischen Sicherheit, Mobilität und Privatsphäre angestrebt. Diese Mitteilung und das "Stockholm-Programm", das im Laufe dieses Jahres vom Europäischen Rat angenommen werden soll, sollen die Parameter für die Gesetzgebung der nächsten Jahre vorgeben. Ich hoffe, dass bei dieser Gesetzgebung den Belangen des Datenschutzes ernsthaft Rechnung getragen wird. Immer wichtiger werden die externen Tätigkeiten der Union, die die Verarbeitung personenbezogener Daten von Unionsbürgern außerhalb der EU erleichtern und schützen sollen. So sollen beispielsweise mit den Vereinigten Staaten Verhandlungen über den Austausch von Strafverfolgungsdaten anhand eines Berichts der sogenannten "hochrangigen Kontaktgruppe" stattfinden. In anderen Foren werden die Notwendigkeit und die Inhalte weltweiter Datenschutzstandards erörtert. Last but not least ist der Vertrag von Lissabon zu nennen, der das Hauptthema meines Beitrags darstellt. Ich bin gebeten worden, mich zu den Auswirkungen des Vertrags von Lissabon auf die Datenschutzbestimmungen zu äußern. Ich möchte das gern tun, doch natürlich besteht noch stets Ungewissheit über das Schicksal dieses Vertrags. Wir werden das zweite Referendum in Irland abwarten müssen, um zu wissen, ob es einen Vertrag von Lissabon geben wird. Und selbst wenn das irische Volk mit Ja stimmen würde, bedeutet das nicht automatisch, dass der Vertrag in Kraft treten wird. Beispielsweise prüft in Deutschland das Bundesverfassungsgericht diesbezügliche Klagen. Ihnen ist dieses Verfahren der Verfassungsbeschwerde selbstverständlich vertraut. Wenn der Vertrag von Lissabon jedoch schließlich Ende dieses oder Anfang nächsten Jahres in Kraft träte, hätte dies ganz erhebliche Auswirkungen für den Datenschutz. 2
2. Drei wichtige Auswirkungen Ich möchte hauptsächlich drei Auswirkungen unterscheiden: Erstens: Eine wichtige Folge des Vertrags von Lissabon wird die Abschaffung der Säulenstruktur sein. Der Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen derzeit Gegenstand der dritten Säule wird in den EG-Vertrag (erste Säule) aufgenommen. Dieser Vertrag wird dann "Vertrag über die Arbeitsweise der Europäischen Union" heißen. Gegenstand von Titel V Raum der Freiheit, der Sicherheit und des Rechts werden nicht nur die polizeiliche und justizielle Zusammenarbeit, sondern auch andere Aspekte dieses Bereichs, wie Grenzschutzmaßnahmen, Asyl und Einwanderung sowie zivilrechtliche Zusammenarbeit, sein. Für den Datenschutz wird diese Abschaffung der dritten Säule die positive Folge haben, dass die schwierigen Diskussionen über die Abgrenzung der einzelnen Säulen überflüssig werden. Die Diskussionen haben in den letzten Jahren zu zwei wichtigen Urteilen des Europäischen Gerichtshofs in Luxemburg geführt. Dieser hat im Mai 2006 entschieden, dass die Weitergabe personenbezogener Reservierungsdaten durch Fluggesellschaften an die Vereinigten Staaten nicht unter die erste Säule fällt. Aber der Gerichtshof hat im Februar 2009 auch entschieden, dass die Speicherung von Verkehrsdaten durch Telekommunikationsanbieter zum Zweck der Bekämpfung der Schwerkriminalität im Rahmen der ersten Säule geregelt werden könnte. Beide Urteile machen deutlich, dass die Grenzen fließend sind. Außerdem zeigen sie, dass eine derartige Abgrenzung in den letzten Jahren weniger sinnvoll ist, da die Strafverfolgungsbehörden immer häufiger personenbezogene Daten verwenden, die zuvor von Privatunternehmen für andere Zwecke erhoben wurden. Zweitens werden auch im Raum der Freiheit, der Sicherheit und des Rechts neue Rechtsvorschriften dem sogenannten ordentlichen Gesetzgebungsverfahren, d.h. der Annahme durch den Rat und zwar mit qualifizierter Mehrheit und durch das Europäische Parlament unterliegen. Dieses Verfahren ist in den meisten übrigen Bereichen des europäischen Rechts üblich, jedoch noch nicht bei der Strafverfolgung. Heute fallen die Rechtsvorschriften über den Informationsaustausch für die Strafverfolgung ausschließlich unter die Zuständigkeit des Ministerrats. Das 3
Parlament wird nur um Stellungnahme ersucht. In diesem Bereich geschieht es recht oft, dass das Parlament, etwa weil es die Notwendigkeit bestimmter Datenverarbeitungsvorgänge in Frage stellt, dem Vorschlag sehr kritisch gegenübersteht, und dieser dennoch vom Rat angenommen wird. Dies geschah zum Beispiel, als der Prümer Vertrag in einen Ratsbeschluss umgesetzt wurde. Dies wird sich nun ändern! Drittens werden sich in den neuen Verträgen die Datenschutzbestimmungen grundlegend ändern und viel stärker hervortreten. Auf diese Veränderungen möchte ich nun im Einzelnen eingehen. 3. Der Datenschutz im Rahmen der derzeitigen Verträge Die neuen Datenschutzbestimmungen können als grundlegend anders bezeichnet werden, da in den derzeitigen Verträgen der Datenschutz nur unvollständig ist oder, mit anderen Worten, versteckt oder schwer erkennbar ist. Der Datenschutz wurde zunächst im Rahmen von Bestimmungen über den Binnenmarkt geregelt. Aus diesem Grund verbindet die allgemeine Datenschutzrichtlinie 95/46 zwei Ziele miteinander: den Schutz des Grundrechts auf Datenschutz und die Gewährleistung des freien Flusses personenbezogener Daten im Binnenmarkt. Dies gilt auch für die Datenschutzrichtlinie für elektronische Kommunikation 2002/58, die derzeit überprüft wird. Im derzeitigen EG-Vertrag wird Datenschutz nur in einer der letzten Bestimmungen, Artikel 286, an einer eher unauffälligen Stelle des Vertrags, behandelt. Er wurde 1999 durch den Vertrag von Amsterdam eingefügt und bestimmt, dass das Datenschutzrecht der EU auch auf die Datenverarbeitung bei den EU-Organen und - Einrichtungen Anwendung findet. Artikel 286 bietet auch die Rechtsgrundlage für die Einsetzung eines Europäischen Datenschutzbeauftragten. Beides ist in der Verordnung (EG) Nr. 45/2001, mit der der EDSB eingesetzt wird, weiter ausgeführt. 1999 brauchte man den Artikel 286, um eine Rechtslücke zu vermeiden, so dass sichergestellt war, dass die EU-Organe und -Einrichtungen die Datenschutzbestimmungen einhalten. Trotz dieses begrenzten Zwecks wurde Artikel 286 die erste echte Datenschutzbestimmung im EG-Vertrag. 4
Ich möchte jedoch noch auf eine zweite Bestimmung zu sprechen kommen. Der Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen (die sogenannte dritte Säule) enthält wenn auch schwer erkennbar eine mehr oder weniger allgemeine Rechtsgrundlage für den Datenschutz. Nach Artikel 30 Absatz 1 Buchstabe b des EU-Vertrags werden die Bestimmungen für das Speichern und den Austausch personenbezogener Daten durch Datenschutzvorschriften ergänzt. Diese Bestimmung bildet die Rechtsgrundlage für den Rahmenbeschluss des Rates 2008/977/JI über den Datenschutz, der vor kurzem angenommen wurde und derzeit von den Mitgliedstaaten in innerstaatliches Recht umgesetzt wird. Schließlich möchte ich darauf hinweisen, dass mehrere andere Rechtsinstrumente der dritten Säule spezifische Datenschutzrechtsrahmen enthalten (zum Beispiel Schengen, Europol, Eurojust und Prüm). Diese einzelnen Rechtsrahmen könnten im Lichte des bereits genannten Artikels 30 Absatz 1 Buchstabe b des EU-Vertrags gesehen werden. Alle diese Rechtsrahmen enthalten Instrumente, die den grenzüberschreitenden Austausch personenbezogener Daten erleichtern. In diesem Zusammenhang sind Mechanismen erforderlich, um Schutz zu gewährleisten, wenn Daten tatsächlich in einem grenzüberschreitenden Zusammenhang genutzt werden. Dies war vor der Annahme des Rahmenbeschlusses über den Datenschutz in der dritten Säule umso wichtiger, als es in diesem Bereich noch keine allgemeinen EU- Datenschutzbestimmungen gab. Kurz gesagt wird in Artikel 286 des EG-Vertrags und in Artikel 30 Absatz 1 Buchstabe b des EU-Vertrags der Datenschutz anerkannt, jedoch keine angemessene Rechtsgrundlage für ein umfassendes Datenschutzsystem gelegt. Das wichtigste Rechtsinstrument für den Datenschutz die Richtlinie 95/46 konnte sich und kann sich auch heute noch ausschließlich auf einen Rechtsakt stützen, der auf die Förderung des Binnenmarktes abzielt. 4. Der Vertrag von Lissabon Ganz anders der Vertrag von Lissabon. Dadurch, dass er eine allgemeine Datenschutzbestimmung, einen für alle Bereiche geltenden allgemeinen Datenschutzrahmen einführt, bringt er einen grundlegenden Wandel mit sich. Diese Bestimmung steht weder an unauffälliger Stelle, noch ist sie schwer als solche erkennbar, sondern sie hat einen herausragenden Platz im Vertrag. Es handelt sich um 5
Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union; wie ich bereits erwähnt habe, gilt dieser Vertrag auch für die polizeiliche und justizielle Zusammenarbeit. Ich möchte betonen, dass die Datenschutzbestimmungen im Vertrag von Lissabon statt einer unauffälligen Stelle im Vertrag nunmehr einen höheren Stellenwert in Titel II "Allgemein anwendbare Bestimmungen" erhalten haben. In diesem Titel stehen wichtige Bestimmungen wie die Kohärenz des EU-Rechts, die Bekämpfung der Diskriminierung und der Zugang der Öffentlichkeit zu Dokumenten. Der Inhalt des Artikels 16 kann weitreichende Folgen haben. Nach Absatz 1 hat jede natürliche Person ein subjektives Recht auf Datenschutz. Absatz 1 übernimmt Artikel 8 der Charta der Grundrechte, wo ebenfalls ein ausdrückliches Recht auf Datenschutz vorgesehen ist. Die Charta wurde im Jahre 2000 unterzeichnet, ist jedoch noch nicht bindend. Rechtsverbindlichkeit wird sie nach dem Inkrafttreten des Vertrags von Lissabon erhalten. In Artikel 8 Absatz 2 der Charta sind die Kernbestandteile des Datenschutzes im europäischen Recht niedergelegt: Personenbezogene Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. Diese Kernbestandteile stützen sich auf ältere Rechtsakte wie das Übereinkommen 108 des Europarates. Leicht abweichende Begriffe, die auf nationaler Ebene verwendet werden, wie das Recht auf informationelle "Selbstbestimmung", werden von dieser Vorschrift nicht berührt. Kurz gesagt hat der Einzelne ein subjektives Recht, das an zwei Stellen garantiert wird. Was sogar noch wichtiger ist: Das Recht ist so formuliert, dass es unmittelbare Wirkung hat. In diesem Sinne ist es mit anderen im Rahmen der EU-Verträge 6
verliehenen Rechte vergleichbar, beispielsweise dem Recht der EU-Bürger auf Freizügigkeit und Niederlassungsfreiheit im Hoheitsgebiet aller Mitgliedstaaten. Somit wird jeder Einzelne ein Recht auf Datenschutz haben, selbst wenn es keine spezifischen Bestimmungen über dieses Recht gibt. Das Recht kann vor Gericht eingeklagt werden. Natürlich ist die Ausübung dieses Rechts durch Einzelpersonen nicht unbeschränkt. Es kann Bedingungen und Beschränkungen aufgrund des EU- Rechts unterliegen. Aber aufgrund seiner Beschaffenheit als subjektives Grundrecht würde ich sagen, dass diese Bedingungen die Ausübung der in der Charta aufgeführten Kernbestandteile des Rechts auf Datenschutz nicht verhindern können. Somit komme ich zum zweiten Bestandteil von Artikel 16. Nach Absatz 2 müssen das Europäische Parlament und der Rat Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten erlassen. Diese Verpflichtung gilt für die Verarbeitung durch die Organe, Einrichtungen und sonstigen Stellen der Union. Sie gilt auch für die Verarbeitung durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen. Dies deckt eindeutig den öffentlichen Sektor ab. Es gilt jedoch auch, selbst wenn die Formulierung nicht sehr klar ist, für alle Verarbeitungsvorgänge im Privatsektor. Nach Artikel 16 müssen das Europäische Parlament und der Rat Vorschriften über den freien Datenverkehr erlassen. Diese Vorschriften werden die Bedingungen und Beschränkungen für die Ausübung des Rechts auf Datenschutz enthalten, wie sie auch in den geltenden europäischen Rechtsakten vorgesehen sind. Schließlich möchte ich noch auf zwei weitere Bestandteile des Artikels 16 hinweisen. Zum einen ist dort niedergelegt, dass es unabhängige Behörden gibt, die die Einhaltung dieser Vorschriften überwachen. Der Grundsatz der Überwachung durch eine unabhängige Behörde ist derzeit Gegenstand einer Rechtssache vor dem Europäischen Gerichtshof, an der Deutschland beteiligt ist und bei der es insbesondere um die Anforderung der Richtlinie 95/46 geht, dass diese Behörden "ihre Aufgaben in vollständiger Unabhängigkeit wahrnehmen". Das Urteil in dieser Rechtssache wird sich auf den Vertrag von Lissabon auswirken. 7
Zum anderen bezieht sich Artikel 16 auf eine spezifische Rechtsgrundlage für den Datenschutz im Bereich der Gemeinsamen Außen- und Sicherheitspolitik der EU. Die Datenverarbeitung durch nationale Sicherheitsdienste wird beispielsweise nicht unter Artikel 16 fallen, sondern durch diese spezifische Rechtsgrundlage abgedeckt. Hierbei handelt es sich um eine Ausnahme vom allgemeinen Anwendungsbereich des Artikels 16. Ich will nicht weiter auf diese spezifische Bestimmung eingehen, die eng mit dem spezifischen Teil des Vertrags über die Gemeinsame Außen- und Sicherheitspolitik verknüpft ist. 5. Artikel 16 und die geltenden gesetzlichen Regelungen Eine interessante Frage ist natürlich, welche Folgen Artikel 16 für die geltenden gesetzlichen Regelungen haben wird. Nach meinen Ausführungen zu Artikel 16 erscheint meine erste Bemerkung vielleicht überraschend: Die Richtlinie 95/46 wird durch den Vertrag von Lissabon und dessen Artikel 16 nicht berührt. Diese Richtlinie scheint die Kriterien des Artikels 16 zu erfüllen. Sie wurde vom Rat und vom Europäischen Parlament angenommen und bietet den im Vertrag von Lissabon geforderten Schutz. Hinsichtlich der Verordnung Nr. 45/2001 über den Schutz personenbezogener Daten durch die EU selbst neige ich zu derselben Einschätzung. Dadurch wird selbstverständlich einer etwaigen Überprüfung der Richtlinie 95/46, die aus anderen Gründen stattfinden könnte, nicht vorgegriffen. Für den Datenschutz im Polizei- und Justizbereich ist die Lage komplizierter. Mit dem Inkrafttreten des Vertrags von Lissabon wird die Säulenstruktur hinfällig, was jedoch nicht bedeutet, dass die Richtlinie 95/46 automatisch für die polizeiliche und justizielle Zusammenarbeit gilt. Der Geltungsbereich dieser Richtlinie ist begrenzt. Staatliche Tätigkeiten im strafrechtlichen Bereich sind derzeit ausgenommen. Nur durch eine spezifische Änderung der Richtlinie in diesem Punkt könnte dies anders werden. Wie steht es mit dem neuen Rahmenbeschluss über Datenschutz? Wird er gelten? Nach dem Protokoll Nr. 10 zum Vertrag von Lissabon bleibt die rechtliche Wirkung des Rahmenbeschlusses erhalten, bis der Rechtsakt aufgehoben, für nichtig erklärt 8
oder geändert wird. Der Rahmenbeschluss wird somit unter dem neuen Vertrag weitergelten. Die aus Artikel 16 erwachsende Verpflichtung für den Rat und das Europäische Parlament, Datenschutzvorschriften zu erlassen, gilt auch für den Bereich der polizeilichen und justiziellen Zusammenarbeit. Es ist Aufgabe der Kommission, einen entsprechenden Vorschlag anzunehmen. Somit sind der Rat und das Parlament verpflichtet, Regeln für die polizeiliche und justizielle Zusammenarbeit auf der Grundlage des Artikels 16 des Vertrags über die Arbeitsweise der Union zu erlassen. Es ist davon auszugehen, dass der Rahmenbeschluss die Anforderungen des Artikels 16 des Vertrags über die Arbeitsweise der Union nicht erfüllt, da er erstens vom Rat allein und nicht vom Rat und vom Parlament gemeinsam angenommen wurde und zweitens nur für Teilbereiche der polizeilichen und justiziellen Zusammenarbeit gilt. Verarbeitungsvorgänge, an denen nicht mehr als ein Mitgliedstaat beteiligt ist, sind vom Anwendungsbereich des Rahmenbeschlusses ausgenommen. Der Vollständigkeit halber sei darauf hingewiesen, dass diese Verpflichtung aufgrund des Artikels 16 sofort nach Inkrafttreten des Vertrags von Lissabon gilt, da sie von keiner der Übergangsbestimmungen in den Protokollen zum Vertrag von Lissabon berührt wird. Es gibt also eine Verpflichtung, Rechtsvorschriften zu erlassen, aber es stellt sich die Frage: Wer kann diese Verpflichtung durchsetzen? Im EU-System gibt es für den Einzelnen keine Möglichkeit, sich selbst an ein Gericht zu wenden, wenn er verfassungsmäßige Werte für verletzt hält. Verfassungsbeschwerden sind nicht vorgesehen. Es ist jedoch vorstellbar, dass das Parlament Klage wegen Verletzung seiner Vorrechte erheben würde, wenn die Kommission keine legislativen Vorschläge für den Datenschutz im Bereich der Strafverfolgung vorlegt. Diese Möglichkeit könnte die Kommission veranlassen, mit der Vorlage eines Vorschlags nicht zu lange zu warten. Eine andere, logischere Lösung bestünde darin, die derzeitigen Beratungen über die Richtlinie 95/46 zu nutzen, um einen neuen Datenschutzrechtsakt auszuarbeiten, der die Richtlinie ersetzt oder ändert und zugleich die Lücken in der dritten Säule schließt. 9
Der Vertrag von Lissabon muss jedoch nicht zwangsläufig zu einem Rechtsakt führen, der für alle Arten der Datenverarbeitung gilt. Ein gesonderter Rechtsakt für Polizei und/oder Justiz ist nicht ausgeschlossen, und hierfür spricht sogar eine dem Vertrag beigefügte Erklärung, der zufolge aufgrund des spezifischen Charakters der Bereiche justizielle Zusammenarbeit in Strafsachen und polizeiliche Zusammenarbeit sich in diesen Bereichen spezifische Vorschriften über den Schutz personenbezogener Daten als erforderlich erweisen könnten. Somit handelt es sich hierbei um eine politische Entscheidung des Rates und des Parlaments als "gleichgestellte Partner". Die neuen Rechtsakte sollten jedoch einen allgemeinen Geltungsbereich besitzen und vollkommen im Einklang miteinander stehen. Beides ist derzeit sicherlich nicht der Fall. Ich komme nun zum Schluss. Obwohl ich den Vertrag von Lissabon nur kurz berührt habe, soll es Ihnen klar sein, dass der Datenschutz durch einen herausragenden Platz stärker hervorgehoben wird. Es wird damit auch wichtige Chancen zur Verbesserung des Datenschutzes geben, vor allem in der heutigen dritten Säule. Ich habe aber auch darauf hingewiesen, dass viel davon abhängt, wie der Gesetzgeber handeln wird um diese Chancen zur Verbesserung durchaus zu benutzen. Ich bin mir bewusst, dass dies nur eine erste, oberflächliche Annäherung ist. Es wäre noch viel mehr zu sagen. Solange jedoch noch Unsicherheit über das Inkrafttreten besteht, möchte ich es bei diesen einführenden Bemerkungen belassen. Vielen Dank für Ihre Aufmerksamkeit. 10