Der Entwurf einer ‚Europol‘-Konvention – Eine datenschutzrechtliche Kritik

von Thilo Weichert

Entsprechend dem sog. ‚Maastrichtvertrag‘ vom 7.2.92 (EUV) ist es die Grundidee von ‚Europol‘, die polizeiliche Zusammenarbeit zur Verhütung und Bekämpfung schwerwiegender Formen der internationalen Kriminalität „in Verbindung mit dem Aufbau eines unionsweiten Austauschs von Informationen im Rahmen eines Europäischen Polizeiamts (Europol)“ zu verbessern (Art. K.1 Nr. 9 EUV). Ende Juni 1993 legte die TREVI-ad-hoc-Arbeitsgruppe ‚Europol‘ den ersten Entwurf einer ‚Europol‘-Konvention vor. Die deutsche EU-Präsidentschaft wollte in der zweiten Hälfte des Jahres 1994 den Konventionsentwurf zur Unterschriftsreife bringen. Insbesondere der Widerstand Frankreichs verhinderte eine Einigung. Nun soll der Entwurf (EuPolK-E) bis zum Ende der französischen EU-Präsidentschaft im ersten Halbjahr 1995 verabschiedet werden.

Mit der Konvention soll die seit dem 3.1.94 in Den Haag arbeitende ‚Europol Drugs Unit‘ (EDU) eine gesetzliche Grundlage erhalten. Schon die heutigen Aktionen von EDU sind aus datenschutzrechtlicher Sicht äußerst problematisch. Ohne effektive Kontrolle tauschen dort Verbindungsbeamte ‚am runden Tisch‘ multilateral Daten aus den nationalen Informationssystemen aus. So werden Fakten geschaffen für das europäische Polizeiamt ‚Eu-ropol‘. Der qualitative Sprung aber soll mit der EuPolK erfolgen, wo polizeiliche Hoheitsrechte einer supra-nationalen Institution übertragen werden. Die Regierungsvertreter haben sich inzwischen anscheinend über den wesentlichen Inhalt der Konvention geeinigt. Da jedoch ein neuer Text noch nicht vorliegt, erfolgt die Kritik hier anhand des Entwurfes vom November 1994:

Verfassungsrechtliche Grundlagen

Derzeit gibt es keine konkreten Gemeinschaftskompetenzen der EU zur Regelung von Fragen der ‚inneren Sicherheit‘. Die in Art. K.1 EUV vorgesehene Zusammenarbeit im Bereich der Innen- und Justizpolitik wird lediglich als Angelegenheit gemeinsamen Interesses angesehen und muß über das Völ-kervertragsrecht geregelt werden (Art. 59 II GG). Die ‚Europol‘-Konvention ist ebenso wie der sog. ‚Schengen-II-Vertrag‘ als Maßnahme zur Verwirklichung eines vereinten Europas anzusehen, so daß insofern Art. 23 des Grundgesetzes (GG) anzuwenden ist. Danach kann der Bund per Gesetz Hoheitsrechte auf europäische Einrichtungen übertragen. Durch die informationelle Tätigkeit soll ‚Europol‘ in eigener Verantwortung Eingriffe ins Recht auf informationelle Selbstbestimmung vornehmen können. Hoheitsgewalt wird auch dadurch ausgeübt, daß ‚Europol‘ die Befugnis erhält, nationalen staatlichen Organen Anweisungen zu erteilen. Dies gilt etwa bzgl. der Verpflichtung der nationalen Stellen, auf Ersuchen ‚Europols‘ Daten zu übermitteln (Art. 10 III EuPolK-E).

Grenzen der Übertragung von Hoheitsrechten bestehen dort, wo die Identität der Verfassungsordnung der Bundesrepublik Deutschland (vgl. Art. 79 III GG), etwa bzgl. des Bundesstaatsprinzips mit seiner auch grundrechtsfördernden Funktion, beeinträchtigt wird. Art. 73 Nr. 10 GG ermächtigt den Bund nur zum Erlaß von Gesetzen über die Zusammenarbeit des Bundes und der Länder in der Kriminalpolizei sowie die Einrichtung eines Bundeskriminalpolizeiamtes und die internationale Verbechensbekämpfung. Der EuPolK-E enthält aber nicht nur Regelungen zur Strafverfolgung, sondern auch zur Gefahrenabwehr und zu polizeilichen Vorfeldmaßnahmen. Dies läßt sich nicht unter den Begriff der „internationalen Verbrechensbekämpfung“ subsumieren, ebensowenig wie die über die Zusammenarbeit hinausgehenden eigenen Ermittlungsmaßnahmen einer Zentrale. Der EuPolK-E greift in die polizeirechtliche Kompetenz der Länder ein. Hierzu bedarf es nach Art. 23 I S. 3 in Verbindung mit 79 II GG einer Zwei-drittelmehrheit in Bundestag und Bundesrat. Außerdem sind dabei die Rechte der Bundesrepublik durch einen vom Bundesrat benannten Vertreter der Länder wahrzunehmen (Art. 23 VI GG).

EuPolK-E beschränkt sich nicht darauf, den Austausch von Informationen zum Zweck der polizeilichen Zusammenarbeit zu regeln. Er sieht darüber hinaus auch die eigenständige Datenerhebung, die Datenanalyse und die Da-tenübermittlung an Drittstellen vor. Hierin liegen eigenständige Ermitt-lungstätigkeiten, die auch von Art. K.1 Nr. 9 EUV nicht abgedeckt sind, so daß die in Art. F II EUV normierten Grundrechtsbindungen sowie die demo-kratischen Verpflichtungen des EUV hier nicht gelten.

‚Europol‘ als eigenständige supra-nationale Einrichtung

Die rechtliche Konzeption von ‚Europol‘ ist bisher einzigartig: Die Behörde unterliegt weder nationaler Kontrolle und Verantwortlichkeit, noch ist sie der Kommission als Exekutive der EG untergeordnet. Das Personal darf „von keiner Regierung, Behörde, Organisation oder nicht ‚Europol‘ angehörenden Person Weisungen entgegennehmen“ (Art. 27 I EuPolK-E). Diese Institution ist gleichsam freischwebend und handelt ohne ministerielle oder politische Direktive. Handlungsleitend sollen nur die in Art. 2 und 3 EuPolK-E festge-legten Zielsetzungen und Aufgaben sein. Die einzige zulässige Einflußnahme auf ‚Europol‘ soll der von jedem Mitgliedstaat mit einem Regierungsvertreter beschickte Verwaltungsrat ausüben (Art. 25 EuPolK-E). Dieser hat jedoch keinen Einfluß auf die konkrete Aufgabenerfüllung. Direkte Einflußnahme ist nur dadurch möglich, daß der Europäische Rat mit einer Zwei-drittelmehrheit den Direktor und die Stellvertreter entläßt. Dies wird den Anforderungen des Maastricht-Urteils des Bundesverfassungsgerichts (BVerfG) nicht gerecht, wonach europäische Institutionen mit hoheitlichen Befugnissen durch die na-tionalen Parlamente und, evtl. ergänzend, durch das Europa-Parlament de-mokratisch legitimiert sein müssen. Das BVerfG hat klargestellt, daß hin-sichtlich der Aufgabenbeschreibung der Institutionen im EUV die obere Grenze, hinsichtlich der demokratischen Legitimation nach dem EUV die untere Grenze erreicht sei. Beide Grenzen werden von ‚Europol‘ durchbrochen.

‚Europol‘ soll nicht nur ein Instrument der Zusammenarbeit sein, sondern selbst Daten in das Informationssystem eingeben können, wobei diese auch aus eigener „Analysetätigkeit“ oder von Dritten (außerhalb der EU) stammen können (Art. 7 III S. 3 EuPolK-E). Zur Beschaffung der Daten können Ersuchen an die Mitgliedstaaten wie auch an Drittstellen gerichtet werden (Art. 10 III, 4 EuPolK-E). Mit diesen nicht-fallgebundenen Ermittlungen außerhalb strenger strafprozessualer Regeln kann ‚Europol‘ strafrechtliche Ermittlungen nicht nur koordinieren, sondern steuern. Will eine nationale Polizei ‚ihre‘ Daten löschen, so kann ‚Europol‘ dies unter Verweis auf sein „weitergehendes Interesse“ (Art. 19 IV S. 1, 18 I S. 2 EuPolK-E) verhindern.

Selbstverständlich werden ‚Europol‘-Angaben in konkrete Ermittlungsverfahren eingeführt werden. Dies soll bei allen „Straftaten von erheblicher Bedeutung, die Europol bei Wahrnehmung seiner Aufgaben bekannt werden“ (Art. 12 S. 2, 15 II S. 1 EuPolK-E), möglich sein. Ungeklärt ist, wie sichergestellt werden soll, daß diese Informationen gerichtlich oder anwaltlich überprüft werden können, da entsprechende Akteneinsichtsrechte nicht bestehen. ‚Europol‘ unterliegt keiner staatsanwaltlichen Direktive. Damit wird die polizeiliche Dominanz im Strafverfahren weiter verstärkt.

Die ‚Europol‘ im Entwurf zugewiesenen Aufgaben bewegen sich damit nicht mehr in dem vom BVerfG gesetzten Rahmen. Das vom BVerfG bekräftigte Subsidiaritätsprinzip erlaubt die Abtretung von Befugnissen an europäische Institutionen nur, wenn die Aufgaben national nicht mehr wirksam wahrgenommen werden können. Bisher wurde allerdings nicht dargetan, daß die Datenverarbeitung nicht in nationaler Verantwortung wahrgenommen werden könnte.

Aufhebung des Trennungsgebotes

Das Gebot der Trennung von Polizei und Geheimdiensten hat zumindest als Ausgestaltung der „informationellen Gewaltenteilung“ weiterhin verfassungs-rechtliche Geltung. Dieser Grundsatz wird hinsichtlich der Datenanlieferung und der Datennutzung der anderen an ‚Europol‘ angeschlossenen Staaten durchbrochen, da diese eine entsprechende Trennung nicht kennen. In Art. 15 II S. 2 EuPolK-E wird die Befugnis eingeräumt, ohne materielle Voraussetzung Daten an Geheimdienste weiterzugeben. Hinzu kommt, daß Geheimdienste anderer EU-Staaten, z.B. der britische MI5, bei der rechtlichen Verantwortlichkeit und Kontrolle noch weit hinter den deutschen Diensten rangieren.
Art. 7 I Nr. 2 EuPolK-E erlaubt die Datenverarbeitung von Personen, „bei denen Tatsachen die Annahme rechtfertigen, daß sie Straftaten begehen wer-den“. Eine konkrete Gefahr wird nicht vorausgesetzt. Der betroffene Perso-nenkreis wird in Art. 10 I S. 1 EuPolK-E erweitert um (potentielle) Zeugen und Opfer, um Kontakt- und Begleitpersonen sowie um (potentielle) Infor-manten. Mit dieser unbestimmten Beschreibung kann praktisch jede Person erfaßt werden. Die Speicherung von (potentiellen) Zeugen und Opfern kommt nach deutschem Datenschutzrecht nur bei Kenntnis und mit Einwilligung der Betroffenen in Frage. Es geht nicht an, daß über die ‚Europol‘-Speicherung die nationalen Regelungen umgangen werden können.

Datenverantwortlichkeit

Art. 4 IV und 10 III EuPolK-E verpflichten die nationalen Stellen, sowohl auf Ersuchen als auch aus eigener Initiative Daten anzuliefern. Die Mitglied-staaten haben „für den Zugang dieser Stelle zu den entsprechenden nationalen Daten zu sorgen“ (Art. 4 III EuPolK-E). Damit wird eine Anlieferungspflicht der Bundesländer bei der Zentralstelle des Bundeskriminalamtes (BKA) ohne Ansehung des Landespolizeirechts vorprogrammiert. Die geplanten Befugnisse ‚Europols‘ zur Datenverarbeitung gehen teilweise über die im Landes-polizeirecht vorgesehenen Befugnisse weit hinaus. Dies gilt z.B. für die Da-tenerhebung (Art. 10 III-V EuPolK-E), die Speicherung von Vorfeldinfor-mationen (Art. 10 I EuPolK-E) oder für Datenübermittlungen ins Ausland (Art. 16 EuPolK-E). Geraten nun also von den Ländern unter engeren rechtlichen Voraussetzungen erhobene Daten an ‚Europol‘, so können sie dort für nach Landesrecht unzulässige Zwecke verwendet werden. Die Länder verlieren die Verantwortung. Über den Umweg ‚Europol‘ werden so die landesrechtlichen Datenschutzstandards unterminiert.
Art. 13 EuPolK-E versucht, einen gemeinsamen Datenschutzstandard festzu-schreiben, indem die Mitgliedstaaten zu gesetzlichen Regelungen entsprechend der Datenschutzkonvention des Europarates sowie der Empfehlung des ‚Ministerkomitees des Europarates‘ über die Nutzung personenbezogener Daten im Polizeibereich verpflichtet werden. Auch ‚Europol‘ selbst soll diese Normen beachten. Die Verpflichtung auf Standards widerspricht aber schon vom Ansatz einer klaren rechtlichen Festlegung. Die äußerst allgemein gehaltenen Regelungen von Datenschutzkonvention und Polizeidatenschutz-Empfehlung vermeiden es gerade in kritischen Punkten, genaue Vorgaben zu machen. Sie erfassen nur die automatisierte, nicht die konventionelle Datenverarbeitung und gewähren den Betroffenen keine Rechte. Das BVerfG hat mehrfach festgestellt, daß sich das Recht auf informationelle Selbstbestimmung mit Betroffenenansprüchen auch auf die Akten-Datenverarbeitung bezieht.

Grundrechtserhebliche Maßnahmen von Institutionen der EU müssen vom Europäischen Gerichtshof oder „von der deutschen Gerichtsbarkeit voll über-prüft werden“ können. Dem widerspricht die Planung: Eine subsidiäre na-tionale Rechtsschutzmöglichkeit sieht der EuPolK-E nicht vor. Die in Art. 21 EuPolK-E vorgesehene nationale Datenschutz-Kontrollinstanz muß nicht un-abhängig sein, so daß mit dieser Aufgabe auch eine Abteilung des BKA betraut werden könnte.

Nach bundesdeutschem Verfassungsrecht muß normenklar gesetzlich bestimmt sein, wer was wann und bei welcher Gelegenheit über die betroffenen Personen weiß. Rechte und Pflichten müssen auch auf europäischer Ebene „voraussehbar im Vertrag umschrieben und (…) im Zustimmungsgesetz hinreichend bestimmbar normiert worden“ sein. Diese Anforderungen sind bei einer Vielzahl von Regelungen des EuPolK-E nicht erfüllt. Der EuPolK-E strotzt vor Unklarheiten, etwa bei der Beschreibung der ‚Europol‘-Straftaten. Es wird auch nicht verlangt, daß die Taten in allen Staaten strafbar sind. Die im Anhang aufgeführten 21 Deliktsgruppen beschreiben keine internationalen Verbrechen, sondern vor allem nationale Delikte, die in den Mitgliedstaaten teilweise sehr unterschiedlich geregelt sind (z.B. Umweltkriminalität, Com-puterkriminalität, Produktpiraterie). Nach Art. 2 II S. 1 EuPolK-E kann der Rat einstimmig die Übertragung dieser Delikte in den Aufgabenbereich von ‚Europol‘ beschließen. Eine derartige Gesetzgebung als Blankovollmacht für die Regierungen ist deutschem Recht fremd. Der allgemeine Schluß von der Aufgabe auf die Befugnis ohne Berücksichtigung der Betroffeneninteressen ist nach deutschem Verfassungsrecht unzulässig. Der EuPolK-E verstößt damit gegen Grundrechte, insbesondere gegen das Recht auf informationelle Selbstbestimmung, gegen Prinzipien demokratischer Verantwortlichkeit und Kontrolle und gegen rechtsstaatliche Gewährleistungen.

Thilo Weichert ist Stellvertretender Datenschutzbeauftragter in Nieder-sach-sen und Vorstandsmitglied der ‚Deutschen Vereinigung für Datenschutz'(DVD)
BVerfGE 37, 279; 58, 40; 59, 91; 73, 375f.
BVerfG, NJW 1993, 3051
BVerfG, NJW 1993, 3057
BVerfG, NJW 1984, 428
vgl. 8 IV des Entwurfes für ein neues BKA-Gesetz (BKAG-E)
Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten v. 28.1.81
Empfehlung Nr. R (87) 15 des Ministerkomitees an die Mitgliedstaaten über die Nutzung personenbezogener Daten im Polizeibereich, vom Ministerrat angenommen am 17.9.87
BVerfG, NJW 1991, 2411f.; BVerfG, NVwZ 1990, 1162
BVerfG, NJW 1993, 3049
BVerfG, NJW 1984, 419, 422; BVerfG, NJW 1993, 3052