Vorsorge

Rechts ist nach der klassischen Begriffsbestimmung "ein Bestand von Mitteln, sächlicher wie persönlicher Art, welche in der Hand eines Trägers öffentlicher Verwaltung einem besonderen öffentlichen Zeck dauernd zu dienen bestimmt sind." (Otto Mayer, Deutsches Verwaltungsrecht Bd. 2, 3. Aufl., 1924, S. 268). Der weite Anstaltbegriff gilt als "Sammelbecken" für unterschiedliche organisationsrechtliche Erscheinungen und erfasst alle organisatorischen Subjekte öffentlicher Verwaltung, die nicht Körperschaften und Stiftungen sind (Kemmler, Die Anstaltslast, 2001, S. 30 f.). Daseinsvorsorge und unternehmerische Betätigung liegen in Gemengelage. Das lässt es geboten erscheinen, den anstaltlichen Teil des Verkehrsflughafens dem öffentlichen Bereich zuzuordnen. Die Leistungen sowie personelle und sächliche Organisation dieses anstaltlichen Teils haben nach öffentlich-rechtlichen Kriterien zu erfolgen. Die Fraport AG unterliegt damit meiner datenschutzrechtlichen Kontrolle, soweit sie sich als Betreiberin des Flughafens Frankfurt betätigt.

Flughafen Frankfurt-Hahn

Da die Flughafen Hahn GmbH einen Annexbetrieb der Fraport AG darstellt, ist davon auszugehen, dass die Fraport AG auch den Flughafen Frankfurt-Hahn betreibt. Die Erfüllung einer öffentlichen Daseinsvorsorgeaufgabe in einem anderen Bundesland, ändert nichts an den datenschutzrechtlichen Zuständigkeiten. Im Interesse einer einheitlichen Kontrolle ist (entsprechend den bundesstaatlichen Nacheilegrundsätzen) mit Zustimmung der Datenschutzbehörde des Landes Rheinland Pfalz von einer Annexzuständigkeit des HDSB auszugehen.

Public Private Partnerships

Im 35. Tätigkeitsbericht wurden unter Ziff. 2 diese Erwägungen auf den Bereich der Public Private Partnerships (PPP) oder Öffentlich-Privater Partnerschaften übertragen, die sich steigender Beliebtheit erfreuen. Es wurde schon erwähnt, dass unter dieser Bezeichnung die unterschiedlichsten Kooperationsformen von Hoheitsträgern mit privaten Wirtschaftssubjekten zusammengefasst sind. Trotz einer Tendenz zur Risikoabwälzung auf die privaten Partner, geht es doch immer um die Erfüllung öffentlicher Aufgaben. Auch wenn die Privaten (zunächst) die Aufgabenfinanzierung übernehmen und eine (formelle) Privatisierung eintritt, bleibt die Aufgabe öffentlich. In den Kategorien des klassischen deutschen Verwaltungsrechts liegt eine "Verwaltungsmittlung" vor. Die Verwaltungsmittlung ist neben der Beleihung und der Verwaltungshilfe die dritte Form der Beteiligung von Privaten an der Erfüllung von Verwaltungsaufgaben.

Beleihung Beleihung bedeutet die Übertragung von Hoheitsbefugnissen. Da der Beliehene die gleichen Befugnisse wie eine Behörde wahrnimmt, muss er datenschutzrechtlich auch wie eine staatliche Behörde behandelt werden. Die Rechtsbeziehungen der Beliehenen zu Dritten betreffen den öffentlichen Bereich. Die Kontrollzuständigkeit des HDSB für die Beliehenen des Landes Hessen ist unstreitig gegeben (§ 3 Abs. 1 Satz 2 HDSG).

Verwaltungshilfe

Bei der Verwaltungshilfe führt der Private nach Würdigung der Behörde Hilfstätigkeiten aus. Solche Tätigkeiten können auch das Außenverhältnis, d.h. Rechtsbeziehungen zu Dritten betreffen (z. B. Abschleppen von Fahrzeugen durch Privatunternehmen auf polizeiliche Anweisung). Die rechtliche Zuordnung der jeweiligen Leistungsverhältnisse kann hier Verwirrung stiften. Da der Verwaltungshilfevertrag als fiskalisches Hilfsgeschäft dem Privatrecht zugewiesen wird, soll nach gelegentlich vertretener Auffassung auch das Leistungsverhältnis des Verwaltungshelfers zu Drittbetroffenen dem privaten Bereich zugehören. Zwischen dem Verwaltungshelfer und den Drittbetroffenen bestehen indessen überhaupt keine Leistungsbeziehungen. Rechtlich handelt im Außenverhältnis vielmehr die Behörde. Die Kontrollzuständigkeit des HDSB versteht sich daher von selbst. Datenschutzrechtlich ist dies der klassische Fall der Datenverarbeitung im Auftrag (§ 4 HDSG).

Verwaltungsmittlung

Während für die Verwaltungshilfe die unselbständige Aufgabenerfüllung charakteristisch ist, beauftragt bei der Verwaltungsmittlung eine Verwaltungsbehörde ein privates Unternehmen zumeist durch Vertrag mit der Durchführung einer bestimmten Verwaltungsaufgabe. Das private Unternehmen handelt hier selbständig (Stichworte: Betreibermodell, Betriebsführungsmodell, Konzessionsmodell). Die Verwaltungsmittlung fällt ebenfalls in den öffentlichen Bereich; denn hier kauft die Behörde nicht nur punktuell eine Dienstleistung ein. Vielmehr wird das private Unternehmen mit der eigenständigen Erfüllung einer öffentlichen Aufgabe betraut. Mögen die Verträge, durch die die Verwaltungsmittlung begründet wird, privatrechtlich qualifiziert werden (Abfallentsorgungsverträge, Energieversorgungsverträge, Erschließungsverträge, Konzessionsverträge), mögen die Leistungsbeziehungen zu Drittbetroffenen privatrechtlich strukturiert sein, so handelt es sich doch immer um die Erfüllung öffentlicher Aufgaben im unmittelbaren Allgemeininteresse. Das bedeutet, dass hier die Grundrechte unmittelbar gelten. Wo immer aber die informationelle Selbstbestimmung unmittelbar Geltung beansprucht, da beginnt datenschutzrechtlich der öffentliche Bereich.

3. Europa

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat dem Hessischen Datenschutzbeauftragten die Wahrnehmung der Interessen der Länderdatenschutzbeauftragten in den europäischen Kontrollinstanzen für Schengen und EUROPOL übertragen. Der Beitrag stellt die Arbeitsschwerpunkte der Sitzungen der Kontrollinstanzen im Berichtszeitraum dar.

Gemeinsame Kontrollinstanz für das Schengener Informationssystem

Im Berichtszeitraum fanden fünf Sitzungen der Gemeinsamen Kontrollinstanz (GK) statt, an denen meine Mitarbeiterin als Ländervertreterin teilnahm. Die Delegationen, der zum 1. Mai 2004 der EU beigetretenen Staaten besaßen weiterhin nur einen Beobachterstatus in der Kontrollinstanz, da das Schengener Durchführungsübereinkommen (SDÜ) ihnen gegenüber noch nicht in Kraft gesetzt wurde. Dies hat sich Ende Dezember 2007 geändert, da dann SIS I Plus, d. h. die technische Erweiterung für die neuen Beitrittsländer mit Ausnahme Zyperns in Betrieb gegangen ist. Mit dem Anschluss der neuen Beitrittsländer an das SIS werden die Binnengrenzkontrollen zu Land und Wasser und ab Frühjahr 2008 die Kontrolle an den Luftgrenzen aufgehoben.

Mit der zeitgleich erfolgenden Inkraftsetzung des SDÜ für die neuen Länder erhalten diese dann auch einen vollberechtigten Mitgliedstatus in der GK.

Anders als in meinem 35. Tätigkeitsbericht (Ziff. 3.1) berichtet, will die Schweiz jetzt auch bei SIS I Plus teilnehmen, da die Realisierung von SIS II aus dortiger Sicht zu lange dauert.

Das in meinem 35. Tätigkeitsbericht unter Ziff. 3.1 angesprochene Schengen III-Abkommen, der sog. Prümer Vertrag vom 27. Mai 2005, wurde unter der deutschen Ratspräsidentschaft im ersten Halbjahr 2007 in den EU-Rechtsrahmen integriert (Entwurf eines Beschlusses des Rates zur Vertiefung der grenzüberschreitenden Zusammenarbeit insbesondere zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität, Stand 19. Juni 2007 - CRIMORG 112, ENFOPOL 124).

Dies bedeutet, dass die Regelungen des Prümer Vertrags nach den erforderlichen innerstaatlichen Umsetzungsakten in allen EU-Ländern gelten. Anders als das SIS, bei dem alle Staaten auf einen inhaltlich identischen Datenbestand Zugriff haben, verfolgt das Regelungswerk des Prümer Vertrags ein anderes Konzept, bei dem der gegenseitige Zugriff auf nationale Datenbanken (Fingerabdrücke, DNA, Fahrzeugregister) eingeräumt wird.

Neue Rechtsgrundlagen für das Schengener Informationssystem

Die neuen Rechtsgrundlagen für das SIS II, von denen ich in den letzten Tätigkeitsberichten (35. Tätigkeitsbericht, Ziff. 3.1.1; 34. Tätigkeitsbericht, Ziff. 3.3.1; 33. Tätigkeitsbericht, Ziff. 3.1.2) berichtet habe, sind mittlerweile veröffentlicht. Sie ersetzen insoweit die Art. 92 bis 119 SDÜ.

Da die neuen Regelungen für das SIS II auf unterschiedliche Kompetenzen in den Europäischen Verträgen gestützt werden, gibt es drei verschiedene Rechtsgrundlagen:

- Das Verfahren von Ausschreibungen von Drittausländern zur Einreiseverweigerung (Art. 96 SDÜ) und damit zusammenhängende Fragen werden in der Verordnung (EG) Nr. 1987/2006 des Europäischen Parlaments und des Rates vom 20. Dezember 2006 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II) geregelt (ABlEG 2006/L 381/4).

- Der Zugriff von Kfz-Zulassungsstellen auf das SIS II ist in der Verordnung (EG) Nr. 1986/2006 des Europäischen Parlaments und des Rates vom 20. Dezember 2006 über den Zugang von für die Ausstellung von KfzZulassungsbescheinigungen zuständigen Dienststellen der Mitgliedstaaten zum Schengener Informationssystem der zweiten Generation (SIS II) geregelt (ABlEG 2006/L 381/1).

Da die beiden Regelungsgegenstände Kompetenzen der ersten Säule der Europäischen Union (Visa, Asyl, Einwanderung und Verkehr) betreffen, konnte die Rechtsform der Verordnung gewählt werden, die unmittelbar in jedem Mitgliedstaat der Europäischen Union gilt.

- Alle weiteren Ausschreibungen von Personen und Gegenständen und die damit zusammenhängenden Fragen wurden durch Beschluss des Rates vom 12. Juni 2007 über die Einrichtung, Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II) geregelt (ABlEG 2007/L 205/63).

Die dritte geschilderte Regelungsmaterie kann nur auf die Kompetenz für polizeiliche und justizielle Zusammenarbeit im Vertrag über die Europäische Union gestützt werden. Der hierzu ergangene Beschluss ist zwar für die Mitgliedstaaten verbindlich, aber für die Bürger nicht unmittelbar wirksam. Hierzu bedarf es der Umsetzung in nationale Rechtsvorschriften.

Inhaltlich hat sich an den Rechtsgrundlagen für das SIS II gegenüber dem Entwurfsstadium, von dem ich im 35. Tätigkeitsbericht (Ziff. 3.1.1) berichtete, nicht viel geändert. Als positiv anzumerken ist, dass - anders als damals geplant - der Zugriff von Nachrichtendiensten auf die Ausschreibungen von Drittstaatsangehörigen zur Einreiseverweigerung nicht realisiert wurde.

Durch die Veröffentlichung und das Inkrafttreten der drei neuen Rechtsgrundlagen für das SIS II steht der Wortlaut zwar fest. Anwendung finden diese aber erst, nachdem der Rat mit Zustimmung aller Mitgliedstaaten dies bestimmt. Wichtigste Voraussetzung dafür ist, dass SIS II in Echtbetrieb geht. Der Start wird allerdings immer wieder - vor allem aufgrund technischer Probleme - verzögert. Nach derzeitigem Informationsstand soll die Realisierung nun Anfang des Jahres 2009 erfolgen können.

Zur Konkretisierung und Ausfüllung der genannten Rechtsgrundlagen für das SIS II ist die Kommission dabei, Implementierungsregelungen zu erarbeiten und Änderungen des SIRENE-Handbuchs vorzunehmen. Die Gemeinsame Kontrollinstanz hat zu den Entwürfen Stellung genommen und Änderungen vorgeschlagen. Dabei ging es unter anderem um die praktische

Handhabung der Löschung von Daten, um Einschränkungen bei der Nutzung von biometrischen Daten, um Präzisierungen bei dem Begriff der "erweiterten Suche" und Einzelheiten der Protokollierung von Zugriffen anderer Behörden auf das SIS.

Gemeinsame Überprüfung von Ausschreibungen zur verdeckten Registrierung

Wie im 35. Tätigkeitsbericht (Ziff. 3.1.2) berichtet, hat die Gemeinsame Kontrollinstanz eine Überprüfung von Ausschreibungen nach Art. 99 SDÜ initiiert, die in allen Schengen-Staaten nach gleichen Kriterien durchgeführt wurde.

Art. 99 SDÜ

(1) Daten in Bezug auf Personen oder Fahrzeuge werden nach Maßgabe des nationalen Rechts der ausschreibenden Vertragspartei zur verdeckten Registrierung oder zur gezielten Kontrolle gemäß Abs. 5 aufgenommen.

(2) Eine Ausschreibung dieser Art ist zulässig zur Strafverfolgung und zur Abwehr von Gefahren für die öffentliche Sicherheit, wenn

a) konkrete Anhaltspunkte dafür vorliegen, dass der Betroffene in erheblichem Umfang außergewöhnlich schwere Straftaten plant oder begeht, oder

b) die Gesamtbeurteilung des Betroffenen, insbesondere aufgrund der bisher von ihm begangenen Straftaten erwarten lässt, dass er auch künftig außergewöhnlich schwere Straftaten begehen wird.

Die Ergebnisse der Überprüfung wurden in einem Bericht zusammengefasst, der nunmehr von den Mitgliedern der Gemeinsamen Kontrollinstanz verabschiedet wurde.

Für Deutschland sind insbesondere folgende Feststellungen wichtig:

- die Ausschreibung darf keine sogenannten Kontaktpersonen betreffen, da dies nicht mit Art. 99 Abs. 2 SDÜ zu vereinbaren ist.

- der Begriff "außergewöhnlich schwere Straftat" ist zu konkretisieren. Dabei kann auf die derzeitigen Kompetenzen für EUROPOL oder auf diesbezügliche Regelungen für den europäischen Haftbefehl zurückgegriffen werden.

- die Datenschutzbehörden sollten die Ausschreibungen regelmäßig überprüfen.

Überprüfung von Ausschreibungen von Drittausländern zur Einreiseverweigerung

Nach dem SDÜ dürfen nur solche Personen zur Einreiseverweigerung ausgeschrieben werden, die nicht Staatsangehörige eines der Mitgliedstaaten der Europäischen Gemeinschaft oder eines der assoziierten Staaten sind.

Anlässlich der Überprüfung, ob nach dem Beitrittsdatum der betreffenden Staaten noch rumänische und bulgarische Staatsangehörige im SIS zu finden waren, stieß man auf eine Reihe weiterer Speicherungen von EU-Staatsangehörigen. Im Januar 2007 gab es 46 unzulässig gespeicherte Ausschreibungen, die sofort gelöscht wurden.

Gemeinsame Kontrollinstanz für EUROPOL

Neue Rechtsgrundlagen für EUROPOL

Im 35. Tätigkeitsbericht (Ziff. 3.2.1) hatte ich berichtet, dass es Pläne für neue Rechtsgrundlagen für EUROPOL gibt. Die drei Protokolle zur Novellierung des EUROPOL-Abkommens sind mittlerweile von allen Mitgliedstaaten ratifiziert und im Frühjahr 2007 in Kraft getreten (Rechtsakt des Rates vom 30. November 2000 - ABlEG 2000/C 358/1, Rechtsakt des Rates vom 28. November 2002 - ABlEG 2002/C 312/1 - und Rechtsakt des Rates vom 27. November 2003 - ABlEG 2004/C 2/1).

Die wichtigsten Änderungen sind folgende:

- EUROPOL wird für die Ermittlung bei Geldwäsche insgesamt zuständig. Bisher war die Zuständigkeit nur dann gegeben, wenn die Geldwäsche im Zusammenhang mit Formen der Kriminalität stand, für die EUROPOL die Zuständigkeit besitzt.

- Bedienstete von EUROPOL dürfen an gemeinsamen Ermittlungsgruppen der Mitgliedstaaten teilnehmen und die dort gewonnenen Informationen verarbeiten. Ihnen stehen keine Exekutivbefugnisse zu.

- Die Voraussetzungen, unter denen Datenübermittlungen an Drittstaaten und Drittstellen erfolgen dürfen, werden erleichtert: Erstmals werden im Einzelfall Ausnahmen von dem Erfordernis zugelassen, dass ein angemessener Datenschutzstandard im Empfängerland gewährleistet sein muss. Unter der Voraussetzung, dass "der Direktor von EUROPOL es für absolut notwendig hält, um die grundlegenden Interessen der betreffenden Mitgliedstaaten im Rahmen der Ziele von EUROPOL zu wahren oder um eine unmittelbar drohende kriminelle Gefahr abzuwenden" darf davon abgesehen werden.