Integration

Um den Vorgaben des Art. 286 EGV gerecht zu werden, war es erforderlich, den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere den Schutz ihrer Privatsphäre, durch Verordnung sicherzustellen. So legt Artikel 3 fest, dass die Verordnung für alle Organe und Einrichtungen der Gemeinschaft gilt, soweit diese personenbezogene Daten im Rahmen von Tätigkeiten verarbeiten, die ganz oder teilweise in den Anwendungsbereich des Gemeinschaftsrechts fallen. Die Verordnung betrifft die Verarbeitung personenbezogener Daten durch folgende Organe der Gemeinschaft: das Europäische Parlament, den Rat der Europäischen Union, die Europäische Kommission, den Gerichtshof und den Rechnungshof. Ferner ist sie auf weitere durch EG-Vertrag, EGKS-Vertrag und EURATOM-Vertrag geschaffene Einrichtungen anwendbar: die Europäische Zentralbank, die Europäische Investitionsbank, den Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen. Schließlich gilt sie für Einrichtungen, die durch das Sekundärrecht der Gemeinschaft geschaffen wurden: das Europäische Zentrum für die Förderung der Berufsbildung, die Europäische Stiftung zur Verbesserung der Lebens- und Arbeitsbedingungen, die Europäische Umweltagentur, die Europäische Stiftung für Berufsbildung, die Europäische Beobachtungsstelle für Drogen und Drogensucht, die Europäische Agentur für die Beurteilung von Arzneimitteln, das Harmonisierungsamt für den Binnenmarkt, die Europäische Agentur für Sicherheit und Gesundheitsschutz am Arbeitsplatz, das Gemeinschaftliche Sortenamt und das Übersetzungszentrum der Einrichtungen der Union.

Die Organe und Einrichtungen, die personenbezogene Daten verarbeiten, sind verpflichtet, den betroffenen Personen zweckdienliche Informationen zur Verfügung zu stellen, so dass sie die ihr durch die Verordnung verliehenen Rechte in Anspruch nehmen kann. So haben diese ein Recht auf Zugang zu den sie betreffenden Daten und auf deren Berichtigung, auf Sperrung und Löschung unter den in der Verordnung vorgesehenen Voraussetzungen; ferner können sie unter bestimmten Bedingungen Widerspruch gegen die Verarbeitung der sie betreffenden Daten einlegen. Die Organe und Einrichtungen der Gemeinschaft dürfen indessen in bestimmten Fällen aus genau definierten Gründen des Allgemeininteresses von einigen dieser Bestimmungen abweichen.

Die Verordnung sieht außerdem die Einsetzung einer unabhängigen Kontrollinstanz, des Europäischen Datenschutzbeauftragten, vor und enthält besondere Garantien, um seine Unabhängigkeit zu gewährleisten. Diese Bestimmungen betreffen insbesondere seine Ernennung und Entlassung, die Dauer seiner Amtszeit und das Verbot, Weisungen entgegenzunehmen. Aufgabe des Datenschutzbeauftragten ist es, die Anwendung der Verordnung sicherzustellen. Darüber hinaus muss jedes Organ und jede Einrichtung der Gemeinschaft zumindest eine Person zum Datenschutzbeauftragten bestellen, der mit dem Europäischen Datenschutzbeauftragten zusammenarbeitet und die Anwendung der Verordnung bei den einzelnen Organen und Einrichtungen sicherstellt.

Damit sind auch die Gemeinschaftsorgane und nicht nur ­ wie zuvor ­ die Mitgliedstaaten an den Datenschutz gebunden.

Keine Anwendung findet die Verordnung auf das Europäische Polizeiamt Europol, deren datenschutzrechtliche Pflichten sich unmittelbar aus der Europol-Konvention ergeben. Diese zwischenstaatliche Organisation ist im Rahmen der Zusammenarbeit in den Bereichen Justiz und Inneres (sog. „dritte Säule") geschaffen worden. Es handelt sich nicht um eine Einrichtung der Gemeinschaft im Sinne von Art. 286 EGV. Ebenso wenig gilt die Verordnung für das durch Titel IV des Schengener Durchführungsübereinkommens errichtete Schengener Informationssystem (Verbleib in der dritten ­ nicht vergemeinschafteten ­ Säule).

Das Grundrecht auf Datenschutz in der Charta der Grundrechte der Europäischen Union

Am 7. Dezember 2000 wurde die Charta der Grundrechte der Europäischen Union vom Rat, Europäischen Parlament und der Kommission in Nizza unterzeichnet.

Mit diesem Akt erlangte die Charta allerdings keine Verbindlichkeit im Recht der Europäischen Union. Vielmehr soll die Möglichkeit der Integration der Charta in das Recht der Europäischen Union im Rahmen der nächsten Regierungskonferenz geprüft werden. Vorerst stellt sie also nur eine politische Deklaration dar. Dennoch wird nach Auffassung des LfD auch die rechtlich unverbindliche Charta das Umfeld von Unionsrecht und nationalem Verfassungsrecht ­ insbesondere durch die zu erwartende Heranziehung der Grundrechtscharta durch den EuGH ­ beeinflussen.

Ausweislich der Präambel soll die Charta nichts Neues schaffen, sondern Bestehendes zusammenfassen. So heißt es in Erwägung Nr. 5 der Präambel: „Diese Charta bekräftigt die Rechte, die sich von allen aus den gemeinsamen Verfassungstraditionen der Mitgliedstaaten, aus dem Vertrag über die Europäische Union und aus den Gemeinschaftsverträgen, aus der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten, aus den von der Gemeinschaft und dem Europarat beschlossenen Sozialchartas der Europäischen Gemeinschaften und des Europäischen Gerichtshofs für Menschenrechte ergeben."

Ihr Anwendungsbereich ist in Art. 50 Abs. 1 umschrieben: „Diese Charta gilt für die Organe und Einrichtungen der Union unter Einhaltung des Subsidiaritätsprinzips und für die Mitgliedstaaten ausschließlich bei der Durchführung des Rechts der Union." Sie enthält im ersten Kapitel („Würde des Menschen") einige fundamentale Menschenrechte, die in ähnlicher Form in der Europäischen Menschenrechtskonvention enthalten sind. Das Recht auf Schutz personenbezogener Daten (Art. 8 der Charta) ist jedoch nicht der EMRK nachgebildet, sondern der EG-Datenschutzrichtlinie. Die Regelung in Art. 8 verbindet insbesondere neben dem grundsätzlichen Anspruch einzelne Grundsätze des Art. 6 der Richtlinie sowie die in Art. 12 der Richtlinie enthaltenen Ansprüche auf Auskunft und auf Berichtigung von Daten. Die Bestimmung lautet: „Art. 8 (Schutz personenbezogener Daten)

(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Personen oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht."

Für die Aufnahme des Grundrechts auf Datenschutz in den Europäischen Grundrechtskatalog haben sich die Datenschutzbeauftragten des Bundes und der Länder sowie deren Kolleginnen und Kollegen in den anderen Mitgliedstaaten der Europäischen Union eingesetzt (vgl. z. B. Entschließung vom 8. Oktober 1999, Anlage 3). Auch die gem. Art. 29 der EG-Datenschutzrichtlinie geschaffene Datenschutzgruppe (zu deren Aufgaben s. Tz. 3.6) hatte die Aufnahme eines Grundrechts auf Datenschutz in den Europäischen Grundrechtskatalog empfohlen und hierzu Folgendes ausgeführt: „Der Europäische Rat hat anlässlich seiner Zusammenkunft am 4. Juni in Köln die Ausarbeitung einer Charta der Grundrechte der Europäischen Union beschlossen. In dem Ratsbeschluss heißt es: Im gegenwärtigen Entwicklungszustand der Union ist es erforderlich, eine Charta dieser Rechte zu erstellen, um die überragende Bedeutung der Grundrechte und ihre Tragweite für die Unionsbürger sichtbar zu verankern.

Die Gruppe, bestehend aus den Datenschutzbeauftragten der Mitgliedstaaten der Europäischen Union, unterstützt nachhaltig die Initiative des Europäischen Rates zur Ausarbeitung einer EU-Charta der Grundrechte. Sie weist darauf hin, dass einige europäische Länder ein Datenschutzgrundrecht in ihre Verfassung aufgenommen haben. In einigen anderen Ländern wurde dem Datenschutz durch die Rechtsprechung Grundrechtsgeltung zuerkannt.

Schließlich bestimmt ein neuer Artikel 286 im Vertrag über die Europäische Union, dass die Rechtsakte der Gemeinschaft zum Datenschutz ab dem 1. Januar 1999 auf die europäischen Organe und Einrichtungen Anwendung finden.

Eine Verankerung des Datenschutzes im Rahmen der europäischen Grundrechte würde diesen Schutz rechtsverbindlich auf die gesamte Union erstrecken und der steigenden Bedeutung des Datenschutzes in der Informationsgesellschaft Rechnung tragen.

Die Gruppe empfiehlt daher der Europäischen Kommission, dem Europäischen Parlament und dem Rat der Europäischen Union, das Grundrecht auf Datenschutz in die Charta der Grundrechte aufzunehmen."

Der Entwurf einer „Cyber-Crime"-Konvention des Europarates

Die Bekämpfung der Kriminalität im „Cyberspace" bedarf zweifellos einer verbesserten internationalen Zusammenarbeit. So ist der Konventionsentwurf ausgerichtet auf die strafrechtliche Verfolgung von Handlungen, die gegen die Vertraulichkeit, Integrität und Verfügbarkeit von Computersystemen, Netzwerken und Computerdaten sowie den Missbrauch solcher Systeme, Netzwerke und Daten gerichtet sind. Zu diesem Zweck sollen die in der Konvention beschriebenen Handlungen unter Strafe gestellt und den zuständigen Stellen ausreichende Kompetenzen zur effektiven Verfolgung der Straftaten eingeräumt werden. Das Aufspüren, das Ermitteln und die Verfolgung solcher Delikte sollen auf innerstaatlicher wie internationaler Ebene erleichtert werden und Vereinbarungen sollen eine schnelle und verlässliche internationale Kooperation gewährleisten. Der Konventionsentwurf kann nach Art. 36 auch von solchen Staaten unterzeichnet werden, die dem Europarat nicht angehören, aber an der Ausarbeitung des Konventionsentwurfs beteiligt waren. Dies sind die USA, Kanada, Japan und Südafrika. Mittlerweile ist das Vertragswerk angesichts der Komplexität des Themas auf 116 Seiten angeschwollen, wobei zwei Drittel der zuletzt veröffentlichten Version aus Kommentar und Anhang bestehen.

Seit der erstmaligen Veröffentlichung (Version Nr. 19 des Cybercrime-Vertragswerks, das von 1997 an zunächst hinter verschlossenen Türen ausgehandelt wurde) im Mai 2000 wurden allerdings aus dem Kreis der Datenschutzbeauftragten schwer wiegende Einwände gegen die Verabschiedung der Konvention vorgetragen (vgl. Entschließung der DSB-Konferenz vom 8. März 2001, Anlage 22).

Ein grundlegender Mangel des Konventionsentwurfs bestand z. B. in dem völligen Fehlen von materiellen Bestimmungen zum Umgang mit personenbezogenen Daten, die bei der Überwachung der Telekommunikation oder dem Zugriff auf Verkehrsdaten anfallen. Die Konvention geriet insgesamt auch dadurch in Schieflage, dass der Entwurf das Schutzniveau, das der Europarat seit seinem Bestehen in Konventionen und Empfehlungen selbst aufgestellt hat, erheblich unterschritt. Hier sind insbesondere die Europäische Menschenrechtskonvention von 1950 und die Konvention Nr. 108 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten von 1981 zu nennen, aber auch die Empfehlung R (95) 4 über den Schutz personenbezogener Daten im Bereich der Telekommunikationsdienste.

Auch die internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation und die Datenschutzgruppe nach Art. 29 der EG-Datenschutzrichtlinie haben grundsätzliche Kritik an dem Entwurf geäußert. Die umfangreiche Liste von Änderungsbegehren wurde seitens des Europarates jedenfalls offiziell zur Kenntnis genommen. Zum Ende des Berichtszeitraums hin hat das Bundesjustizministerium darauf hingewiesen, dass die Arbeiten an dem Entwurf inzwischen weitergegangen seien und auch zu verschie23 denen Verbesserungen geführt hätten. Die Bundesregierung habe sich dafür eingesetzt, dass die menschen- und grundrechtsrelevanten Prinzipien des internationalen Rechts beachtet würden. Es sei durchgesetzt worden, dass in das Übereinkommen eine Regelung über „Bedingungen und Garantien" aufgenommen wurde, die vorsehe, dass die Ausgestaltung der in den Artikeln 14 ff. geregelten Eingriffsmöglichkeiten dem Recht des jeweiligen Vertragsstaats unterliege. Hier sei sichergestellt, dass unsere rechtsstaatlichen Prinzipien (z. B. Verhältnismäßigkeitsgrundsatz, Interessenabwägung, justizielle Kontrolle) nicht eingeschränkt würden. Auf deutsches Drängen wären zudem ausdrückliche Hinweise auf die Europäische Menschenrechtskonvention aufgenommen worden.

Äußerst bemerkenswert ist nach Auffassung des LfD im Zusammenhang mit den Arbeiten an der „Cyber-Crime"-Konvention die „Mitteilung der Europäischen Kommission über die Schaffung einer sichereren Informationsgesellschaft durch Verbesserung der Sicherheit von Informationsinfrastrukturen und Bekämpfung der Computerkriminalität" (Dokumentenbezeichnung: KOM[2000] 890 endgültig). Danach soll in einem transparenten Verfahren öffentlich ein Diskussionsprozess beginnen, in dem Strafverfolgungsbehörden, Internet-Diensteanbieter, Telekommunikationsbetreiber und Datenschutzbehörden zusammengebracht werden, um ihr gegenseitiges Verständnis und ihre Zusammenarbeit zu fördern mit dem Ziel, das öffentliche Bewusstsein für die Gefährdung durch über das Internet begangene Straftaten zu schärfen, optimale Sicherheitsbedingungen zu schaffen sowie Instrumente und Verfahren für eine wirksame Bekämpfung der Computerkriminalität aufzuzeigen. In dem vorgenannten Dokument weist die Europäische Kommission auf die Notwendigkeit der Berücksichtigung des nach den geltenden EG-Richtlinien im Bereich Datenschutz und Telekommunikation bereits erreichten Schutzes der Privatsphäre gegenüber Abhörmaßnahmen und anderen Befugnissen der Strafverfolgungsbehörden hin. Dabei kommt in Ziff. 5.3 zum Ausdruck, dass auch ein grundsätzliches Recht auf anonymen oder pseudonymen Zugang und entsprechender Nutzung von Netzangeboten anzuerkennen ist.

Der LfD begrüßt den von der Europäischen Kommission in Gang gebrachten Meinungsbildungsprozess, dessen Ziel es sein muss, die Interessen an effektiver Strafverfolgung und an wirkungsvollem Datenschutz zum Ausgleich zu bringen.

Die Prinzipien des „sicheren Hafens" ­ USA und EU einigen sich über den Schutz der Privatsphäre

Nach jahrelangen Verhandlungen haben sich die Europäische Kommission und das US-Department für Außenhandel über Richtlinien zum Schutz der Privatsphäre bei Datenexporten geeinigt. Zum Hintergrund: Die EG-Datenschutzrichtlinie soll die Übermittlung personenbezogener Daten innerhalb der Union erleichtern, indem sie ein harmonisiertes Datenschutzniveau in allen Mitgliedstaaten schafft. Der Export personenbezogener Daten in Drittstaaten außerhalb der Europäischen Union ist grundsätzlich nur dann zulässig, wenn im Empfängerland ein angemessenes Datenschutzniveau herrscht.

Die USA haben sich bereit erklärt, die als „Safe Harbour" (sicherer Hafen) bekannten Regeln zu akzeptieren. Daraufhin hat die Kommission die Angemessenheit des Datenschutzniveaus bei solchen Unternehmen in den USA anerkannt, die diese Prinzipien akzeptieren (Entscheidung der Europäischen Kommission vom 27. Juli 2000; bevor sie eine formelle Entscheidung treffen konnte, musste die Safe-Harbour-Vereinbarung zunächst von den Mitgliedstaaten in dem Ausschuss nach Art. 31 der EG-Datenschutzrichtlinie befürwortet werden, was Ende Mai 2000 einstimmig erfolgte). Die Europäische Kommission und das US-Handelsdepartment haben in diesem Zusammenhang Leitlinien zum Datenschutz ausgearbeitet. Diese Leitlinien sind u. a. in „Grundsätze zum Datenschutz" und „Antworten auf häufig gestellte Fragen" (Frequently Asked Questions ­ FAQ) gefasst. Um die hier vorhandene Themenvielfalt darzustellen, wurden die erwähnten Grundsätze und eine Auswahl der Antworten auf häufig gestellte Fragen als Anlage 29 aufgenommen.

Die Kommissionsentscheidung ist für alle Mitgliedstaaten bindend. Gem. Art. 25 Abs. 6 Satz 2 der EG-Datenschutzrichtlinie treffen die Mitgliedstaaten die aufgrund der Feststellung der Kommission gebotenen Maßnahmen. Auch in Rheinland-Pfalz wirkt sich also diese Entscheidung aus. So muss sichergestellt werden, dass personenbezogene Daten nur dann von Behörden (oder Unternehmen) in die USA übermittelt werden, wenn gewährleistet ist, dass sie dort im „sicheren Hafen" ankommen, also keinem geringeren Schutz unterliegen als in ihrem Ursprungsland. Soweit bekannt, akzeptieren bislang nur wenige Organisationen in den USA diese Grundsätze.

Es bleibt abzuwarten, ob die Safe-Harbour-Lösung mit ihrem gegenwärtigen Datenschutzkonzept Bestand haben wird. So enthält Art. 4 der Kommissionsentscheidung eine Überprüfungsklausel, die es ermöglicht, dass die Feststellung der Angemessenheit des Schutzniveaus im Lichte der Erfahrungen und der US-Gesetzgebung angepasst werden kann. Gem. Art. 4 Ziff. 1 Satz 2 der Entscheidung nimmt die Kommission in jedem Fall nach drei Jahren eine Bewertung der Umsetzung der Kommissionsentscheidung vor. Falls sich herausstellen sollte, dass eine der in den USA für die Einhaltung der Datenschutzgrundsätze zuständigen Kontrolleinrichtungen ihrer Aufgabe nicht wirkungsvoll nachkommt, könnte die Kommission, soweit erforderlich, gemäß dem Verfahren nach Art. 31 der EG-Datenschutzrichtlinie Maßnahmen zur Aufhebung, Aussetzung oder zur Beschränkung des Geltungsbereichs der Safe-Harbour-Entscheidung vorschlagen. Es besteht also die Möglichkeit, die Feststellung der Angemessenheit des Datenschutzniveaus auf diesem Wege zu revidieren.

Die „Artikel 29-Gruppe"

Immer häufiger ist in Bezug auf aktuelle datenschutzrechtliche Themen (vgl. z. B. die Beiträge in Tz 3.5 ­ „Sicherer Hafen" und Tz 3.3 ­ Grundrechtecharta ­) von einer „Artikel 29-Gruppe" die Rede. Diese auf der Grundlage von Art. 29 der EG-Datenschutzrichtlinie geschaffene Datenschutzgruppe bildet keine den nationalen Kontrollstellen übergeordnete Instanz, da Europäische Kommission und Rat bewusst auf jede supranationale Intervention in die nationale Kontrolltätigkeit verzichtet haben.