Böcke als Gärtner – Die EU-Polizeien erarbeiten sich einen Datenschutzrahmen

von Tony Bunyan

Die EU arbeitet derzeit an einem Rahmenbeschluss, der den Datenschutz bei der polizeilichen und justiziellen Zusammenarbeit regeln soll. Da die Diskussion jedoch in einem vom „Krieg gegen den Terror“ bestimmten Klima stattfindet, werden die Rechte der BürgerInnen erneut den Bedürfnissen der Strafverfolgung untergeordnet.

Am 4. Oktober 2005 präsentierte die EU-Kommission ihren Vorschlag für einen Rahmenbeschluss „über den Schutz personenbezogener Daten, die bei der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden“.[1] Der EU-Datenschutzbeauftragte nahm im Dezember 2005 dazu Stellung, und das Europäische Parlament (EP) verabschiedete im September 2006 einen Bericht, in dem es insgesamt sechzig Änderungen empfahl. Fragen der polizeilichen und strafrechtlichen Kooperation, der Dritten Säule der EU, sind ausschließliche Domäne des (Minister-)Rates. Das EP wird hier nur konsultiert. Seine Änderungswünsche kann der Rat theoretisch ignorieren – und das tut er auch in der Praxis regelmäßig.

Wie die Minister mit dem vorliegenden Rahmenbeschluss umzugehen gedachten, wurde deutlich, als sie die „Multidisziplinäre Gruppe Or­ganisierte Kriminalität“ (MDG) mit dessen Beratung beauftragten. Die Datenschutzarbeitsgruppe des Rates war bereits 2001 aufgelöst worden – just zu dem Zeitpunkt, als sie über die Notwendigkeit einer Datenschutzregelung für den Polizeibereich diskutierte. Die MDG repräsentiert die Interessen der Strafverfolgungsbehörden. Wie Lord Avebury am 3. Oktober 2006 im EU-Ausschuss des britischen Oberhauses festhielt, besteht  ihre „primäre Aufgabe darin, den Kriminellen das Leben schwer zu machen und nicht, sich um den Datenschutz zu kümmern.“ Ganz in diesem Sinne machte sich die Gruppe daran, die Rechte der Betroffenen weiter auszuhöhlen. Weder dem gegenseitigen Zugriff der Mitgliedstaaten auf ihre nationalen Polizeidaten noch dem Austausch mit den Behörden befreundeter Staaten wie den USA sollten Hindernisse im Weg stehen.

Die Verhandlungen der MDG waren geheim. Ihre Dokumente waren nicht zugänglich, bis Statewatch sie im September 2006 veröffentlichte.[2] Der EU-Datenschutzbeauftragte sah sich daraufhin zu einer unüblichen – sehr kritischen – zweiten Stellungnahme veranlasst, und der Bürgerrechtsausschuss des EP forderte den Rückruf des Rahmenbeschlusses für eine zweite Konsultierung. All das mag am Ergebnis letztlich nicht viel ändern, aber immerhin zu einer öffentlichen Debatte führen, die andernfalls nicht stattfinden würde.

Es ist zwar zweifellos eine ernüchternde Diagnose über den Zustand der demokratischen Kultur der EU, wenn hinsichtlich der Persönlichkeitsrechte ihrer BewohnerInnen nichts besseres zu erwarten ist, als eine öffentliche Debatte mit wenig Effekt. Bei der Verabschiedung der Rechtsgrundlagen für das Schengener Informationssystem der zweiten Generation – zwei Verordnungen und ein Beschluss – ließ es die EU jedoch selbst an dieser minimalen Öffentlichkeit fehlen. Die Schlussfassungen der Texte wurden hinter verschlossenen Türen bei geheimen „Trialog“-Treffen zwischen VertreterInnen des Rates, der Kommission und des EP ausgehandelt und dann im Eilverfahren ohne Änderungsmöglichkeit angenommen.

Das Prinzip der Verfügbarkeit

Die Idee einer umfassenden Datenschutzregelung für die Dritte Säule stand seit Mitte der 90er Jahre schon mehrmals auf der Tagesordnung der EU. Die Datenschutzrichtlinie von 1995 gilt nicht für Polizei und Strafjustiz. In diesem Bereich hat die EU bisher nur Regelungen produziert, die sich auf die einzelnen gemeinsamen Datenbanken (SIS, Europol-Dateien etc.) beziehen. Der sonstige polizeiliche Datenaustausch stützt sich nach wie vor auf die nationalen Gesetze sowie die rudimentären Bestimmungen des Europaratsabkommens „über den Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ von 1981. Spätestens seit sich die Mitgliedstaaten im Haager Programm vom 5. November 2004, dem Fünfjahresplan der EU für die Innen- und Justizpolitik, darauf geeinigt haben, den Austausch von Polizeidaten ab 2008 nach dem „Prinzip der Verfügbarkeit“ zu organisieren, schien eine umfassende datenschutzrechtliche Regelung für den Polizeibereich unausweichlich.

Der Grundsatz beinhaltet, dass Daten, die für die Polizei- und Strafverfolgungsbehörden eines Mitgliedstaates „verfügbar“ sind, auch den Behörden der anderen EU-Länder unmittelbar zugänglich sein müssen. Für die Umsetzung dieses Prinzips, das vorgeblich der besseren Bekämpfung des Terrorismus dienen soll, liegen mittlerweile eine Reihe von Vorschlägen auf dem Tisch, die in einem ersten Schritt den gegenseitigen Online-Zugriff auf Fingerabdruck- und DNA-Profil-Dateien sowie Fahrzeugregister vorsehen.[3]

Die Kommission nimmt in ihrem Entwurf des Datenschutz-Rah­menbeschlusses auf das Prinzip der Verfügbarkeit in Art. 1.2 Bezug, indem sie von den Mitgliedstaaten verlangt, sicherzustellen, „dass die Offenlegung personenbezogener Daten gegenüber den zuständigen Behörden anderer Mitgliedstaaten nicht aus Gründen, die mit dem Schutz personenbezogener Daten gemäß diesem Rahmenbeschluss zusammenhängen, eingeschränkt oder untersagt wird.“ In der von der MDG produzierten Version des Rates bleibt diese Intention – allerdings mit einer drastischeren Formulierung – erhalten. Der Rat fordert schlicht und einfach, dass keine nationalen Datenschutzregelungen den Austausch personenbezogener Daten „einschränken oder untersagen“ dürfen.[4] Damit ist gleich von Anfang an sichergestellt, dass der Datenschutz eine zahnlose Angelegenheit bleibt.

Konsequenterweise geht der Vorschlag des Rates auf eine ganze Reihe zentraler Fragen gar nicht erst ein: Er behandelt nicht den automatisierten Zugriff auf Datenbanken in einem anderen EU-Staat. Er unter­scheidet nicht zwischen „harten“ Daten wie z.B. Verurteilungen und weichen Informationen („intelligence“), die auf bloßen „Anhaltspunkten“ oder Spekulationen beruhen können. Daten über Unverdächtige, die ohne ihr Zutun in eine Ermittlung geraten (Familie, Freunde, ArbeitskollegInnen etc.), aber auch über Opfer von Straftaten erhalten keinen besonderen Schutz. Ein programmiertes Vergessen bei abgesessenen Strafen gibt es nicht, obwohl die nationalen Gesetze in dieser Frage stark voneinander abweichen. Der Rahmenbeschluss betrifft alle personenbezogenen Daten, wie geringfügig die jeweiligen Straftaten auch immer sein mögen.

Dass der Rahmenbeschluss nicht dem Datenschutz gilt, sondern im Gegenteil, der polizeilichen Datenverarbeitung und vor allem der Weitergabe von Daten über die nationalen Grenzen hinweg zu einer rechtlichen Grundlage verhelfen soll, zeigen die Vorschläge zu den einzelnen Bestimmungen:

  • Gegenstand: Die Mitgliedstaaten streiten sich im Rat darüber, ob der Rahmenbeschluss nur den grenzüberschreitenden und internationalen Datenaustausch oder auch die nationale polizeiliche Datenverarbeitung betreffen soll. Gemäß Art. 1.4 soll es den Mitgliedstaaten erlaubt sein, auf nationaler Ebene Schutzvorkehrungen zu treffen, die über das Niveau des Rahmenbeschlusses hinausgehen. Solche Vorschriften dürften aber den Austausch zwischen den Mitgliedstaaten weder „einschränken“ noch „untersagen“. Die finnische Ratspräsidentschaft drückt das in einer Note so aus: „Die Mitgliedstaaten werden verpflichtet, ihre nationalen Datenschutzbestimmungen dem Rahmenbeschluss anzupassen.“[5]
  • Datenaustausch mit Drittstaaten: Umstritten ist ebenfalls, ob die Weitergabe von Daten an Drittstaaten und internationale Organisationen an die Voraussetzung gebunden sein soll, dass diese ein vergleichbares, angemessenes Datenschutzniveau bieten (Art. 15.d).[6] Fünf Staaten unterstützen diese Forderung – Finnland, Griechenland, Portugal, Tschechien sowie die an Schengen assoziierte Schweiz. Sieben Staaten sind dagegen: Britannien, Dänemark, Deutschland, Irland, Schweden und das ebenfalls nur assoziierte Norwegen.[7]

Die USA, die über „hochrangige“ Treffen mit EU-VertreterInnen an dieser Diskussion beteiligt sind, wehren sich gegen diese Forderung nach einem angemessenen Datenschutzniveau, weil sie über keine Datenschutzbestimmungen für Nicht-US-BürgerInnen verfügen. Art. 15 würde „die exzellenten informellen Kontakte beeinträchtigen, die die US-Straf­verfolgungsbehörden mit ihren Partnern in den EU-Mitgliedstaaten entwickelt haben.“[8] Der Austausch von Daten, z.B. mit den USA, soll sich gemäß den Vorstellungen des Rates nach bilateralen Vereinbarungen richten, die keinen Datenschutz für EU-BürgerInnen beinhalten – weder hinsichtlich der Übermittlung noch in Bezug auf die weitere Verarbeitung der Informationen.

  • Nationale Sicherheit: Gemäß der bereits zitierten Note der finnischen Präsidentschaft gibt es im Rat einen „breiten Konsens“ darüber, dass Daten „mit einer Verbindung zu Zwecken der nationalen Sicherheit“ nicht zum Gegenstand des Rahmenbeschlusses gehören sollen. Der Austausch zwischen den Staatsschutz- bzw. Inlandsgeheimdiensten müsste dann in einem zusätzlichen Beschluss oder Rahmenbeschluss geregelt werden.[9]
  • Weitere Verarbeitung bei den Empfängern: Der Rahmenbeschluss-Entwurf erlaubt die weitere Verarbeitung auch zu Zwecken, die nichts mehr mit dem der Erhebung und auch nichts mit Strafverfolgung oder der Verhütung von Straftaten zu tun haben.
  • Besonders sensible Daten: In Art. 6 Abs. 1 sah der Kommissionsentwurf folgende Formulierung vor: „Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie von Daten über Gesundheit oder Sexualleben.“ In Abs. 2 folgten die Ausnahmen, nämlich dass die Verarbeitung gesetzlich vorgeschrieben und unabdingbar für die „Verhütung, Aufdeckung, Untersuchung und Verfolgung“ von Straftaten sein müsse. Der Rat hat diese Regelung umgekehrt: Die Mitgliedstaaten sollen die Verarbeitung solcher Daten zulassen, „wenn dies unbedingt erforderlich ist.“ Die Ausnahme ist damit zur Regel geworden.
  • Rechte der Betroffenen: Der Kommissionsentwurf enthielt in den Art. 19 und 20 ein Recht, unaufgefordert über die Speicherung und Weitergabe von Daten informiert zu werden. In der MDG ist weiterhin umstritten, ob diese Regelung nicht generell zu streichen sei. „Viele Delegationen“, so bemerkt die Präsidentschaft, „haben sich gefragt, ob ein Prinzip sinnvoll ist, das aufgrund der vielen Ausnahmen in kaum einem Fall angewandt worden wäre.“[10] Hinsichtlich der eigentlich gefährlichen Informationen, die hinter dem Rücken der Betroffenen erhoben wurden, ist dieses Recht in der derzeit letzten Fassung zur Unkenntlichkeit geschrumpft. Informationen soll es nur geben, wenn die jeweilige polizeiliche „Aktivität“ nicht mehr gefährdet und kein „unverhältnismäßiger Aufwand“ zu erwarten ist.

Zusammengestrichen hat die MDG auch das Auskunftsrecht auf Antrag: Die Betroffenen sollen nur noch die „Bestätigung“ erhalten, ob Daten zu ihrer Person vorhanden sind und an wen sie weitergegeben wurden, sowie eine „Mitteilung in verständlicher Form“ über den Inhalt. Die Kommission hatte zusätzlich über Datenkategorien, Zwecke und Rechtsgrundlage der Speicherung sowie über die Herkunft der Daten informieren wollen. Solche „operativen Informationen“ dürfe man im Rahmen des Datenschutzes nicht erteilen, entschied die MDG.[11]

Nach Art. 22 des Kommissionsentwurfs sollten die von den Betroffenen erstrittenen Berichtigungen, Sperrungen und Löschungen auch an die Stellen mitgeteilt werden, denen man zuvor die Daten übermittelt hatte. Die MDG hat hier ergänzt: „… sofern es sich nicht als unmöglich herausstellt oder mit einem unverhältnismäßigen Aufwand verbunden ist.“ Selbst wenn falsche Daten an einen EU- oder einen Drittstaat weitergegeben wurden, soll es keine Pflicht zur Korrektur geben.

  • Verhältnis zu internationalen Abkommen: Der Rahmenbeschluss ist zwar auf Verträge und Vereinbarungen anwendbar, die EU-Staaten untereinander geschlossen haben. „Bi- und multilaterale Abkommen zwischen Mitgliedstaaten und Drittländern sind nicht vom Rahmenbeschluss betroffen, und für die Mitgliedstaaten gilt keine Verpflichtung, diese Abkommen zu ändern.“

Sofern es um Abkommen geht, die die EU selbst mit Drittstaaten geschlossen hat, befürchtet der Rat, dass jede Änderung „die Glaubwürdigkeit der Europäischen Union als Verhandlungspartnerin beeinträchtigen könnte“. Dies sei umso mehr der Fall, „als die wenigen Vereinbarungen, die bisher auf der Grundlage von Art. 24/38 des Vertrags über die Europäische Union getroffen wurden, neueren Datums sind.“[12] Der Rat ist offensichtlich weniger besorgt um seine Glaubwürdigkeit bei den EU-BürgerInnen, als um jene bei der US-Regierung, mit der er Verträge „neueren Datums“ über den Datenaustausch mit Europol, über Rechtshilfe und Auslieferung und über die Weitergabe von Flugpassagierdaten geschlossen hat.

Schlussfolgerungen

Der Rahmenbeschluss wird erhebliche Auswirkungen haben – auf die nationalen Datenschutzgesetze in den EU-Staaten, auf den Datenaustausch zwischen den Polizei- und Strafverfolgungsbehörden in der EU, aber auch rund um den Globus. Er bildet die Grundlage für eine ganze Serie schon geplanter und zukünftiger Maßnahmen, die mit dem „Prinzip der Verfügbarkeit“, dem gegenseitigen direkten Zugang der Polizeien der Mitgliedstaaten zu ihren Datenbeständen, auf die EU und ihre BewohnerInnen zukommen.

Schon hinter dem Kommissionsvorschlag stand die Überlegung, dass es für die Umsetzung dieses Prinzips eines datenschutzrechtlichen Gerüsts in der EU bedürfe. Bei all seinen Schwächen enthielt dieser erste Entwurf immerhin noch einige grundlegende Rechte für die Betroffenen. Die ausschließlich an den Interessen der Strafverfolgung orientierte Ratsarbeitsgruppe hat auch diese Reste beseitigt.

[1]      KOM(2005) 475 endg. v. 4.10.2005 (= Ratsdok. 13019/05 v. 11.10.2005)
[2]     sämtliche hier zitierten Texte unter www.statewatch.org/eu-dp.htm
[3]     Das ist auch das Ziel des Vertrags von Prüm, den bisher acht EU-Staaten unterzeichnet haben, siehe m.w.N. Bunyan, T.: Freier Markt für Polizeidaten – das Prinzip der Verfügbarkeit, in: Bürgerrechte & Polizei/CILIP 84 (2/2006), S. 21-28
[4]     derzeit letzte Version: Ratsdok. 13246/5/06 v. 22.11.2006, Art. 1.4
[5]     Ratsdok. 12924/06 v. 19.9.2006
[6]     Gemäß dem Kommissionsvorschlag soll dies die Weitergabe von solchen Daten an Drittstaaten betreffen, die ein EU-Staat von einem anderen Mitgliedstaat erhalten hat. Fünf Staaten unterstützen diese Position: die Niederlande, Polen, Tschechien, Spanien und die Schweiz. Belgien und Ungarn wollen das angemessene Datenschutzniveau auch dann fordern, wenn die Daten aus dem EU-Staat, in dem sie erhoben wurden, an Drittstaaten weitergereicht werden, Ratsdok. 12924/06 v. 19.9.2006.
[7]     Ratsdok. 11547/3/06 v. 13.7.2006
[8]     so die Ergebnisse eines hochrangigen Treffens zu justiz- und innenpolitischen Fragen am 18.7.2006 in Helsinki, Ratsdok. 12064/06 v. 27.7.2006
[9]     Ein ähnliches Verfahren hat die EU beim Visa-Informationssystem angewandt, siehe den Entwurf eines Ratsbeschlusses über den Zugang der „für die innere Sicherheit zuständigen Behörden der Mitgliedstaaten“ zum VIS, KOM(2005) 600 endg. v. 24.11.2005.
[10]   Ratsdok. 12925/06 v. 19.9.2006
[11]    Ratsdok. 11547/3/06 v. 13.9.2006, Fußnote 102
[12]   Ratsdok. 12924/06 v. 19.9.2006