SCHUTZ PERSONENBEZOGENER DATEN Der Schutz personenbezogener Daten und die Achtung der Privatsphäre sind wichtige Grundrechte. Das Europäische Parlament betont die Notwendigkeit der Herstellung eines Gleichgewichts zwischen der Stärkung der Sicherheit und der Wahrung der Menschenrechte, die auch den Schutz personenbezogener Daten und der Privatsphäre mit einbezieht. Der Vertrag von Lissabon schafft eine solide Grundlage für die Entwicklung eines eindeutigen und wirksamen Datenschutzsystems. Gleichzeitig werden darin neue Befugnisse des Parlaments festgelegt. RECHTSGRUNDLAGE Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV); Artikel 8 der Charta der Grundrechte der Europäischen Union. ZIELE Die Union muss für die konsequente Anwendung des in der EU-Grundrechtecharta verankerten Grundrechts auf Datenschutz sorgen. Die Position der EU zum Schutz personenbezogener Daten muss bei allen EU-Maßnahmen, einschließlich jener in den Bereichen Strafverfolgung und Verbrechensvorbeugung, sowie in internationalen Beziehungen gestärkt werden. In einer globalen, von raschem technologischem Wandel geprägten Gesellschaft ist der Informationsaustausch grenzenlos. Um den Herausforderungen, denen die moderne Gesellschaft gegenübersteht, gerecht zu werden, muss der Datenschutz im Netz und der Zugang zum Internet sichergestellt werden sowie dem Missbrauch von Videoüberwachung, Funkfrequenzkennzeichnungen (Smart Chips), verhaltensbezogener Werbung, Suchmaschinen und sozialen Netzwerken vorgebeugt werden. ERGEBNISSE A. Ein neuer institutioneller Rahmen: der Vertrag von Lissabon und das Stockholmer Programm 1. Der Vertrag von Lissabon Vor dem Inkrafttreten des Vertrags von Lissabon waren die Rechtsvorschriften zum Datenschutz im Raum der Freiheit, der Sicherheit und des Rechts (RFSR) zwischen der ersten Säule (Datenschutz für private und gewerbliche Zwecke, unter Anwendung der Gemeinschaftsmethode) und der dritten Säule (Datenschutz für Strafverfolgungszwecke, auf zwischenstaatlicher Ebene) aufgeteilt. Daraus ergab sich, dass sich der Beschlussfassungsprozess in den beiden Bereichen an zwei verschiedenen Regelwerken ausrichtete. Der Vertrag von Lissabon löste die Säulenstruktur auf und bietet so eine bessere Grundlage für die Entwicklung eines eindeutigeren und effektiveren Datenschutzsystems. Gleichzeitig sieht er den Ausbau der Befugnisse des Europäischen Parlaments vor und macht Kurzdarstellungen über die Europäische Union - 2015 1
es zum Mitgesetzgeber. Gemäß Artikel 16 AEUV erlassen das Europäische Parlament und der Rat Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen. 2. Das Stockholmer Programm Nach dem Programm von Tampere (Oktober 1999) und dem Haager Programm (November 2004) hat der Europäische Rat im Dezember 2009 ein neues mehrjähriges Programm zum Raum der Freiheit, der Sicherheit und des Rechts für den Zeitraum 2010 2014 gebilligt: das Stockholmer Programm. Das Parlament hat am 25. November 2009 eine Entschließung zu diesem Programm angenommen. Am 11. März 2014 hat die Kommission zwei Mitteilungen zu den politischen Prioritäten für die Zeit nach dem Stockholmer Programm angenommen. Am 2. April 2014 hat das Parlament eine Entschließung zu der Halbzeitbilanz des Stockholmer Programms angenommen. In den Schlussfolgerungen der Tagung des Europäischen Rates vom 26./27. Juni 2014 hat dieser im Einklang mit Artikel 68 AEUV die strategischen Leitlinien für die gesetzgeberische und operative Programmplanung für die kommenden Jahre im RFSR festgelegt. Eines der Hauptziele ist ein besserer Schutz personenbezogener Daten in der EU. B. Wichtige Rechtsakte zum Datenschutz 1. Die EU-Grundrechtecharta In Artikel 7 und 8 der Charta der Grundrechte der Europäischen Union werden die Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten als eng verbundene, aber dennoch eigenständige Grundrechte angesehen. Mit der Einbeziehung in den Vertrag von Lissabon wurde die Grundrechtecharta für die Organe und Einrichtungen der Europäischen Union sowie ihre Mitgliedstaaten bei der Umsetzung von EU-Recht rechtlich bindend. 2. Der Europarat a. Das Übereinkommen Nr. 108 von 1981 Das Übereinkommen des Europarats vom 28. Januar 1981 über den Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten ist das erste international verbindliche Rechtsinstrument im Bereich Datenschutz. Zweck des Übereinkommens ist es, für jedermann [ ] sicherzustellen, dass seine Rechte und Grundfreiheiten, insbesondere sein Recht auf einen Persönlichkeitsbereich, bei der automatischen Verarbeitung personenbezogener Daten geschützt werden. b. Die Europäische Menschenrechtskonvention (EMRK) In Artikel 8 der Europäischen Konvention vom 4. November 1950 zum Schutze der Menschenrechte und Grundfreiheiten ist das Recht auf Achtung des Privat- und Familienlebens verankert: Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz. 3. Derzeitige EU-Rechtsakte zum Datenschutz Aufgrund der früheren Säulenstruktur sind derzeit verschiedene Rechtsakte in Kraft. Dazu gehören die im Rahmen der früheren ersten Säule verabschiedeten Rechtsakte, wie beispielsweise die Richtlinie 95/46/EG zum Datenschutz, die 2009 geänderte Richtlinie 2002/58/EG über Datenschutz in der elektronischen Kommunikation und die (wegen ihres schwerwiegenden Eingriffs in das Privatleben und den Datenschutz am 8. April 2014 vom Gerichtshof der Europäischen Union für ungültig erklärte) Richtlinie 2006/24/EG über die Vorratsdatenspeicherung, sowie die Verordnung (EG) Nr. 45/2001 über die Verarbeitung Kurzdarstellungen über die Europäische Union - 2015 2
personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und der im Rahmen der früheren dritten Säule erlassene Rahmenbeschluss des Rates vom November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen verarbeitet werden. Derzeit wird ein neuer umfassender Rechtsrahmen zum Datenschutz auf EU-Ebene erörtert (siehe unten). a. Datenschutzrichtlinie 95/46/EG Die Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist das Kernstück der Rechtsvorschriften zum Schutz personenbezogener Daten in der EU. In der Richtlinie werden allgemeine Regeln für die rechtmäßige Verarbeitung personenbezogener Daten sowie zu den Rechten der betroffenen Personen festgelegt; gleichzeitig werden unabhängige nationale Aufsichtsbehörden vorgesehen. In der Richtlinie wird außerdem vorgeschrieben, dass persönliche Angaben nur dann weiterverarbeitet werden dürfen, wenn die betreffende Person ihre ausdrückliche Einwilligung dazu gegeben hat und im Vorfeld von der Weiterverarbeitung der Daten in Kenntnis gesetzt wurde. b. Rahmenbeschluss 2008/977/JI des Rates Der Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, reguliert den Datenschutz in der früheren dritten Säule. Dieser Bereich wird von der Richtlinie 95/46/EG nicht abgedeckt, da diese nur auf die Verarbeitung personenbezogener Daten in der früheren ersten Säule Anwendung findet. Der Rahmenbeschluss findet nur auf den Austausch polizeilicher und justizieller Daten zwischen den Mitgliedstaaten, EU-Behörden und -Systemen, nicht jedoch auf innerstaatliche Daten Anwendung. 4. Der Europäische Datenschutzbeauftragte und die Artikel-29-Datenschutzgruppe Der Europäische Datenschutzbeauftragte (EDSB) ist eine unabhängige Aufsichtsbehörde, die die Einhaltung der Datenschutzverpflichtungen durch die Organe und Einrichtungen der EU gewährleistet. Diese Verpflichtungen sind in der Datenschutzrichtlinie (EG) Nr. 45/2001 niedergelegt. Die wichtigsten Aufgaben des EDSB sind Überwachung, Beratung und Zusammenarbeit. Die Artikel-29-Datenschutzgruppe ist ein unabhängiges Beratungsorgan für den Datenschutz und den Schutz der Privatsphäre, das nach Artikel 29 der Datenschutzrichtlinie eingesetzt wurde. Die Gruppe setzt sich aus Vertretern der nationalen Datenschutzbehörden, dem EDSB und der Kommission zusammen. Sie gibt Empfehlungen, Stellungnahmen und Arbeitsdokumente heraus. Das Sekretariat der Datenschutzgruppe wird von der Kommission gestellt. 5. Die geplante Überarbeitung der EU-Rechtsvorschriften über den Datenschutz Am 25. Januar 2012 veröffentlichte die Kommission ein umfassendes Paket von Legislativvorschlägen im Hinblick auf die Überarbeitung der EU-Rechtsvorschriften zum Datenschutz. Mit der vorgeschlagenen Überarbeitung sollen der Schutz personenbezogener Daten in der EU gewahrt, die Kontrolle der Nutzer über ihre eigenen Daten gestärkt und die Kosten für die Unternehmer gesenkt werden. Der technologische Fortschritt und die Globalisierung haben zu tiefgreifenden Veränderungen bei der Erhebung und Verwendung sowie beim Zugang zu personenbezogenen Daten geführt. Darüber hinaus wurde die Richtlinie von 1995 in den 28 Mitgliedstaaten unterschiedlich umgesetzt. Ein einheitlicher Rechtsakt würde der gegenwärtigen Fragmentierung und dem kostspieligen Verwaltungsaufwand ein Ende bereiten. Diese Initiative wird dazu beitragen, das Vertrauen der Verbraucher in Online- Kurzdarstellungen über die Europäische Union - 2015 3
Dienste zu stärken, und den so dringend benötigten Schwung für Wachstum, Beschäftigung und Innovation in Europa bringen. Das Paket umfasst eine Mitteilung zu den wichtigsten politischen Zielen der Reform, einen Vorschlag für eine allgemeine Verordnung zur Modernisierung der in der Datenschutzrichtlinie von 1995 enthaltenen Grundsätze, einen Vorschlag für eine spezifische Richtlinie zur Verarbeitung von personenbezogenen Daten im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen sowie einen Bericht über die Umsetzung des Rahmenbeschlusses von 2008. Parlament und Rat prüfen zurzeit die Vorschläge der Kommission. ROLLE DES EUROPÄISCHEN PARLAMENTS Das Parlament betont seit jeher die Notwendigkeit einer ausgewogenen Strategie zur Stärkung von Sicherheit bei gleichzeitigem Schutz personenbezogener Daten und der Privatsphäre. Das Parlament hat verschiedene Entschließungen zu diesen sensiblen Themen angenommen, insbesondere im Hinblick auf die Profilerstellung anhand ethnischer Zugehörigkeit, den Prümer Ratsbeschluss zur grenzüberschreitenden Zusammenarbeit bei der Bekämpfung von Terrorismus und Verbrechen, den Einsatz von Körperscannern zur Verbesserung der Flugsicherheit, biometrische Daten in Pässen sowie die Gemeinsame Konsularische Instruktion, Grenzverwaltung, Internet und Datenschürfung (Data Mining). Der Vertrag von Lissabon hat mehr Rechenschaftspflicht und Legitimität im RFSR mit sich gebracht und so die Gemeinschaftsmethode bis auf wenige Ausnahmen zur Regel gemacht. Dies schließt die Mehrheitsabstimmung im Rat und das ordentliche Gesetzgebungsverfahren (früher als Mitentscheidungsverfahren bekannt) ein. Bei internationalen Abkommen gibt es nun ein neues Verfahren ( Zustimmungsverfahren ). Das Parlament hat von diesen Befugnissen im Februar 2010 Gebrauch gemacht, als es die vorläufige Anwendung des Programms zum Aufspüren der Finanzierung des Terrorismus (TFTP; vormals SWIFT-Abkommen) ablehnte, das der Weiterleitung von Daten zu Finanztransaktionen an die Vereinigten Staaten zum Zweck der Terrorismusbekämpfung diente. Nach der Annahme der Entschließung des Europäischen Parlaments vom 8. Juli 2010 trat das TFTP-Abkommen im August 2010 in Kraft. Der endgültige Wortlaut des Abkommens berücksichtigt die wichtigsten Anliegen des Parlaments. Im Juli 2011 legte die Kommission eine Mitteilung zu den wichtigsten Optionen für die Schaffung eines Systems zum Aufspüren der Terrorismusfinanzierung (EU TFTS) vor, hinsichtlich der das Parlament jedoch Bedenken äußerte. Im November 2013 gab die Kommission bekannt, dass sie derzeit keinen Vorschlag für ein EU TFTS vorzulegen gedenkt. Ein weiteres Anliegen mit großer Bedeutung für den Datenschutz ist das PNR-Abkommen zwischen der EU und den Vereinigten Staaten über die Verarbeitung und Weitergabe von Fluggastdatensätzen durch Luftfahrtgesellschaften an das US-Heimatschutzministerium. Nachdem das Parlament am 19. April 2012 seine Zustimmung erteilt hatte, nahm der Rat am 26. April 2012 einen Beschluss über den Abschluss des neuen Abkommens an, das seit Juli 2012 an die Stelle des früheren PNR-Abkommens mit den Vereinigten Staaten trat, welches seit 2007 vorläufig in Kraft war. Im Februar 2011 legte die Kommission einen Vorschlag für eine Richtlinie zur Verwendung von Fluggastdatensätzen zum Zwecke der Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgung von terroristischen Straftaten und schwerer Kriminalität (EU PNR) vor. Dabei stand insbesondere die Frage im Mittelpunkt, ob sich die vorgeschlagenen neuen Vorschriften auf die Erhebung von Fluggastdatensätzen (PNR) für Flüge aus und nach Drittländern beschränken sollten oder ob auch Flüge innerhalb der EU erfasst werden sollten. Im Juni 2013 beschloss das Plenum des Parlaments die Rücküberweisung des Gegenstands an den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE), der im April 2013 den Kurzdarstellungen über die Europäische Union - 2015 4
Vorschlag zu EU-Fluggastdatensätzen aufgrund von Zweifeln an dessen Verhältnismäßigkeit und Grundrechtskonformität abgelehnt hatte. Seitdem ist dieses Dossier nicht weiterverfolgt worden. Nach den Terrorangriffen in Frankreich vom Januar 2015 und aufgrund neuer Bedenken hinsichtlich möglicher Bedrohungen der inneren Sicherheit der EU durch ausländische Kämpfer ist die Diskussion über den Vorschlag zu EU-Fluggastdatensätzen neu entfacht. Derzeit finden Erörterungen zwischen Parlament und Rat statt, um auf diesem sensiblen Gebiet zu einer Kompromisslösung zu gelangen. Das Parlament wird (im Rahmen des Zustimmungsverfahrens) an der Genehmigung eines rechtsverbindlichen Rahmenabkommens mit den Vereinigten Staaten über den Austausch von Informationen und Datenschutz beteiligt sein. Ziel ist ein hohes Niveau des Schutzes von personenbezogenen Informationen wie Fluggast- oder Finanzdaten, die im Zuge der transatlantischen Zusammenarbeit bei der Bekämpfung des Terrorismus und der organisierten Kriminalität übermittelt werden. Am 12. März 2014 nahm das Parlament eine Entschließung zu dem Überwachungsprogramm der Nationalen Sicherheitsagentur der Vereinigten Staaten, den Überwachungsbehörden in mehreren Mitgliedstaaten und den entsprechenden Auswirkungen auf die Grundrechte der EU-Bürger und die transatlantische Zusammenarbeit im Bereich Justiz und Inneres an. Diese Entschließung beendete eine sechsmonatige parlamentarische Untersuchung über die elektronische Massenüberwachung von EU-Bürgern, die infolge der Enthüllungen vom Juni 2013 über mutmaßliche Ausspähungen durch die Vereinigten Staaten und einige EU- Mitgliedstaaten eingeleitet worden war. In seiner Entschließung forderte das Parlament die Aussetzung der Grundsätze des sicheren Hafens (freiwillige Datenschutzstandards für Nicht- EU-Unternehmen, die personenbezogene Daten von EU-Bürgern in die Vereinigten Staaten übermitteln) und des Programms zum Aufspüren der Finanzierung des Terrorismus. Die von der Kommission im Januar 2012 zur Reform der Datenschutzvorschriften vorgelegten Legislativvorschläge werden gegenwärtig im Rahmen des ordentlichen Gesetzgebungsverfahrens vom Parlament geprüft. Das Parlament besteht darauf, dass die Vorschläge der Kommission für eine allgemeine Datenschutzverordnung und für eine Richtlinie für den Bereich der Strafverfolgung im Paket behandelt werden. Am 12. März 2014 stimmte das Parlament in erster Lesung über die Reform ab; es setzte sich dabei für bessere Garantien für die betroffenen Personen und eine Verbesserung der Geschäftsmöglichkeiten ein. Die Verhandlungen zwischen dem neu gewählten Parlament und dem Rat werden beginnen, sobald die Mitgliedstaaten ihren Standpunkt festgelegt haben. Ziel des Parlaments ist es, bis Ende 2015 zu einer Einigung zu gelangen. Alessandro Davoli 10/2015 Kurzdarstellungen über die Europäische Union - 2015 5