Die Europäische Kommission hat einen ersten Schritt zur Umsetzung der EU-Informationsmanagementstrategie (IMS) gemacht: Am 20. Juli 2010 legte Innenkommissarin Cecilia Malmström ihren „Überblick über das Informationsmanagement im Bereich Freiheit, Sicherheit und Recht“ vor.[1] Von A wie Advance Passenger Information bis Z wie Zollinformationssystem listet die Mitteilung insgesamt 19 existierende „Instrumente“ – d.h. Rechtsakte der EU – auf, die das Sammeln und den Austausch personenbezogener Daten zu Zwecken der Kriminalitätsbekämpfung und Migrationskontrolle autorisieren. Während manche dieser Rechtsakte längst implementiert sind, wie im Falle des Schengen-Informationssystems (SIS) oder von EURODAC, wird an der Umsetzung anderer Instrumente noch gearbeitet, wie beim Visa-Informationssystem (VIS) oder den Prüm-Beschlüssen. Darüber hinaus nennt die Bestandsaufnahme sechs Vorhaben, die gegenwärtig diskutiert werden: ein europäisches Passenger Name Record System zur Übermittlung von Fluggastdaten, ein Entry-Exit-System zur Erfassung aller Ein- und Ausreisen von Nicht-EU-Bürgern, ein Registered Travellers Programme zur zügigen biometrischen Kontrolle von Vielfliegern, ein Terrorist Finance Tracking Programme und einen Europäischer Kriminalaktennachweis (EPRIS).[2]
Abschließend betont die Kommission, dass Grundsätze des Datenschutzes insbesondere durch „privacy by design“ zu beachten seien, die Notwendigkeit der Maßnahmen ausreichend begründet und personenbezogene Risikoprofile mit Sorgfalt erstellt werden müssten. Zudem sollten die Systeme kosteneffizient und möglichst ohne Überschneidungen genutzt werden; die Erweiterung bestehender Systeme sei der Einrichtung neuer vorzuziehen. In die Entwicklung neuer Initiativen müssten möglichst früh alle „betroffenen Interessengruppen“ inklusive Zivilgesellschaft miteinbezogen werden. Für das Management der Projekte sollten klare Zuständigkeiten gelten; dabei könne die zukünftige IT-Agentur für den Betrieb von SIS, VIS und EURODAC eventuell Beratung anbieten und als Plattform für den Dialog der Interessengruppen dienen. Auch sollten Instrumente zukünftig „gegebenenfalls“ überprüft werden und Beendigungsklauseln enthalten.
Zufrieden reagierte der Europäische Datenschutzbeauftragte (EDPS), der die zentralen Inhalte der Kommissionsmitteilung „uneingeschränkt“ unterstützte und forderte, dass den Worten nun Taten folgen müssten. Hierfür mahnte er eine ausgewogene Bewertung an, die – anders als die Mitteilung – nicht nur vermeintliche Erfolge bejubelt, sondern auch Mängel aufzeigen soll. Zum anderen dringt er auf eine Harmonisierung des europäischen Datenschutzes und empfiehlt die Entwicklung von Indikatoren zur Bewertung des Rechts auf Privatheit.[3]
Dieser letzten Aufgabe hat sich derweil die neu formierte Ratsarbeitsgruppe für Datenschutz und Informationsaustausch angenommen, die an der Entwicklung eines „Toolkits“ zum „Data Protection Impact Assessment“ für zukünftige Initiativen arbeitet. Dabei überrascht nicht nur, dass das Projekt ausgerechnet von der britischen Delegation geleitet wird, sondern auch, dass diese das Europäische Parlament und die nationalen Datenschutzbehörden offenkundig gering schätzt und das „Toolkit“ hauptsächlich mit dem Rat, der Kommission und dem EDPS entwickeln will, obwohl sie mangelndes Interesse seitens der eigenen Arbeitsgruppe sowie der Mitgliedstaaten fürchtet.[4]
Die Kommission wird nun mit ihrem „information mapping“ und einer detaillierten Bewertung der einzelnen Instrumente fortfahren, um dann 2012 eine Mitteilung über ein europäisches Modell für den Informationsaustausch vorzulegen. Bis dahin wird wohl auch feststehen, in welchem Rechtsrahmen sich der Datenschutz in der EU zukünftig bewegen wird. Der Lissabon-Vertrag hat eine Revision notwendig gemacht, und bereits im Oktober 2010 will Malmströms Kollegin, Justizkommissarin Viviane Reding, ihren Entwurf für eine Neufassung vorlegen. Wie ernst es die Kommission mit dem Datenschutz in der Polizei- und Justizzusammenarbeit wirklich meint, wird sich dann zeigen.
(Eric Töpfer)