Dieser Gastbeitrag von Matthias Bäcker und Gerrit Hornung erschien zunächst in der Zeitschrift für Datenschutz, Ausgabe 2012, 147 vom Verlag C. H. Beck, München. Wir veröffentlichen ihn hier mit freundlicher Genehmigung der Redaktion und der Autoren. Eine Version mit allen Fußnoten gibt’s als PDF. Alle Rechte vorbehalten.
Der am 25.1.2012 veröffentlichte Vorschlag der EU-Kommission für eine grundlegende Reform des europäischen Datenschutzrechts besteht aus zwei Teilen. Neben eine „Datenschutz-Grundverordnung“ soll als zweites grundlegendes Regelungsinstrument eine Richtlinie für die Datenverarbeitung bei Polizei und Justiz treten, die nach dem Willen der Kommission den Rahmenbeschluss 2008/977/JI ersetzen wird. Der Beitrag stellt den Richtlinienentwurf im Kontext des Gesamtvorhabens vor und vertieft Fragen zum Anwendungsbereich, zu den Voraussetzungen der Datenverarbeitung, Benachrichtigungspflichten und der Datenübermittlung in Drittstaaten.
I. Hintergrund
Der Datenschutz im Bereich des Sicherheitsrechts (also die Datenverarbeitung durch Polizei und Justiz in der früheren „Dritten Säule“) ist in der EU bislang deutlich weniger reguliert als in den Bereichen der übrigen staatlichen Verwaltung und der Wirtschaft. Während dort mit der Datenschutzrichtlinie 95/46/EG (im Folgenden: DS-RL) seit längerer Zeit ein einheitlicher Rahmen vorgegeben wird, erfolgte eine – teilweise – Konsolidierung für die Polizei- und Strafverfolgungsbehörden (Kriminalbehörden) erst mit dem Rahmenbeschluss 2008/977/JI, der allerdings lediglich für den grenzüberschreitenden Datenverkehr gilt. Der Reformvorschlag der Kommission sieht nunmehr für beide Bereiche wichtige Änderungen vor, die sich in beiden Fällen sowohl auf die materiellen Regelungen als auch auf das Regelungsinstrument beziehen. Während der Bereich der bisherigen Richtlinie durch eine „Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)“ (im Folgenden: DS-GVO-E) erfasst wird, soll eine „Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr“ (im Folgenden: RL-E; Artikelangaben ohne Bezeichnung beziehen sich auf diese) den Rahmenbeschluss ersetzen und dabei erstmals auch rein innerstaatliche Datenverarbeitungen regulieren. Die Gesamtstrategie – die sich nunmehr auf Art. 16 AEUV stützt – wird in einer übergreifenden Mitteilung „Der Schutz der Privatsphäre in einer vernetzten Welt. Ein europäischer Datenschutzrahmen für das 21. Jahrhundert“ erläutert. Eine vorläufige Fassung der drei Texte wurde im November 2011 bekannt. Gegenüber dieser erweitert die RL-E durchweg den Spielraum für Datenverarbeitungen der Kriminalbehörden, teils indem (problematisch) unbestimmte Formulierungen gewählt werden. Durch den Wechsel zum Instrument der Richtlinie erhält das Europäische Parlament erstmals eine Mitwirkungsmöglichkeit, während der bisherige Rahmenbeschluss durch (einstimmige) Entscheidung im Rat verabschiedet werden konnte. Ähnlich wie bei der DS-GVO-E wird durch die Richtlinie eine stärkere „Vergemeinschaftung“ als bisher erreicht, die RL-E lässt den Mitgliedstaaten aber – teils ausdrücklich, teils implizit – deutlich mehr Regelungsspielräume. Zumindest an einigen Stellen handelt es sich deshalb nicht um eine Vollharmonisierung.
II. Struktur und Inhalt im Überblick
Der Entwurf gliedert sich in zehn Kapitel. Mit Ausnahme des Kapitels IX der DS-GVO-E (das sich mit der Datenverarbeitung in bestimmten Sondersituationen, v.a. in den Bereichen Journalismus, Beschäftigtendaten, Wissenschaft, Gesundheitsdaten und Religionsgemeinschaften beschäftigt) korrespondieren die Kapitel der beiden Instrumente miteinander. Das gilt auch für viele Regelungsinhalte.
Die Allgemeinen Bestimmungen der RL-E (Kapitel I) beschreiben Gegenstand und Ziele (Art. 1, der wie die DS-GVO-E zwei in Teilen konfligierende Ziele enthält, nämlich Grundrechts- und Datenschutz einerseits, ungehinderten Datenverkehr andererseits), legen den Anwendungsbereich fest (Art. 2) und enthalten Begriffsbestimmungen (Art. 3). Einige Definitionen wurden mit Blick auf die Zielrichtung der RL-E (Kriminalbehörden) angepasst bzw. gestrichen (v.a. Art. 4 Abs. 8, 13-17 DS-GVO-E). Kinder werden wie in der DS-GVO-E definiert, anders als dort enthält die RL-E aber keine besonderen Einschränkungen oder Anforderungen an die Verarbeitung ihrer Daten.
Kapitel II enthält die Grundsätze der Datenverarbeitung, nämlich allgemeine Anforderungen (Art. 4), Anforderungen an die Rechtmäßigkeit (Art. 7), Einschränkungen für sensible Arten von Daten (Art. 8) und für auf Profiling und automatischer Datenverarbeitung basierende Maßnahmen (Art. 9, der nationale Befugnistatbestände bei entsprechenden Garantien zulässt; s. deutlich detaillierter Art. 20 DS-GVO-E). Während diese Regelungen Entsprechungen in der DS-GVO-E haben, führt die RL-E zwei neuartige Unterscheidungen ein, nämlich die nach verschiedenen Kategorien betroffener Personen (Art. 5: Verdächtige, Straftäter, Opfer, Zeugen und Kontaktpersonen, andere) und nach „Richtigkeit und Zuverlässigkeit“ der Daten (Art. 6: Differenzierung zwischen Daten, die „auf Fakten beruhen, und solchen, die auf persönlichen Einschätzungen beruhen“, s. bisher Art. 8 Abs. 1 des Rahmenbeschlusses). Bemerkenswerterweise knüpft die RL-E an keiner Stelle direkte Rechtsfolgen an die Pflicht der Verantwortlichen, zwischen diesen Betroffenen und Datenkategorien zu unterscheiden; auch EG 23 schweigt hierzu. Art. 16 bezieht sich nicht auf diese Vorschriften, sodass ein Verstoß keinen Löschungsanspruch nach sich zieht. In Betracht kommt allerdings ein Recht auf Berichtigung (Art. 15), wenn eine betroffene Person einer falschen Kategorie zugeordnet wird. Im Übrigen handelt es sich um strukturelle Vorgaben für die Datenverarbeitungsprozesse der Kriminalbehörden, die von den Aufsichtsbehörden im Rahmen ihrer Befugnisse (Art. 46) überwacht werden können.
Wie die DS-GVO-E enthält Kapitel III für die Rechte der betroffenen Personen zunächst Anforderungen an die Modalitäten und generelle Pflichten der Verantwortlichen (Art. 10, einschließlich einer grundsätzlichen Kostenfreiheit). Im Einzelnen regelt Art. 11 eine grundsätzliche Informationspflicht bei Datenerhebungen. Art. 12 enthält ein grundsätzliches Auskunftsrecht des Betroffenen (Gegenstand: die Tatsache der Verarbeitung, einzelne Daten und das Recht auf eine Kopie), das allerdings von den Mitgliedstaaten in erheblichem Umfang eingeschränkt werden kann (Art. 13). In diesem Fall können die Betroffenen nach Art. 14 die Aufsichtsbehörde um Prüfung ersuchen. Hier müssen die Mitgliedstaaten eine in camera-Prüfung einrichten, an deren Ende nach Art. 14 Abs. 3 zumindest über das Ergebnis zu informieren ist. Weiter ist ein Löschungsanspruch vorgesehen, wobei in bestimmten Fällen eine Markierung der Daten an die Stelle der Löschung tritt (Art. 16). Art. 17 enthält schließlich die Befugnis, die Betroffenenrechte im einzelstaatlichen Strafprozessrecht zu regeln, sofern es umstrafrechtliche Ermittlungen oder Strafverfahren geht.
Kapitel IV betrifft die Pflichten des für die Verarbeitung Verantwortlichen und von Auftragsdatenverarbeitern. Die allgemeinen Pflichten (Art. 18) sowie die Regeln zum Datenschutz durch Technik (Art. 19, der diesen wichtigen Bereich wie Art. 23 DS-GVO-E sehr zurückhaltend angeht), zur gemeinsamen Datenverarbeitung mehrerer Verantwortlicher (Art. 20), zur Auftragsdatenverarbeitung (Art. 21, 22), zur Dokumentation (Art. 23) sowie zur Zusammenarbeit mit der Aufsichtsbehörde (Art. 25, 26, einschließlich einer Vorabkonsultation bei sensiblen Daten und besonderen Risiken) entsprechen in Zielrichtung und wesentlichen Inhalten der DS-GVO-E. Gesondert geregelt wird die Aufzeichnung von Vorgängen (Art. 24). Danach ist über Erhebung, Veränderung, Abfrage, Weitergabe, Kombination und Löschung von Daten „Buch zu führen“. Im Rahmen dieser Protokollierung sind Zweck, Datum und Uhrzeit sowie „so weit wie möglich“ die Identität der verarbeitenden Person festzuhalten; Art. 24 Abs. 2 enthält eine Zweckbindung der Protokolldaten. Demgegenüber sind die Vorschriften zur Datensicherheit (Art. 27-29, dabei werden die Informationspflichten bei „Datenpannen“ begrüßenswerterweise auch auf die Kriminalbehörden erstreckt) und zu internen Datenschutzbeauftragten (Art. 30-32) wieder an die DSGVO- E angelehnt. Dabei wird teilweise (dem Charakter als Richtlinie entsprechend) offener formuliert, teilweise allerdings auch detaillierter (s. etwa den Maßnahmenkatalog in Art. 27 Abs. 2, der deutlich mit der Anlage zu § 9 BDSG korrespondiert). Offenbar hat die Kommission hier Regelungen aufgenommen, die sie im Anwendungsbereich der DS-GVO-E erst nachträglich auf Grund ihrer Befugnis zum Erlass delegierter Rechtsakte erlassen will. Eine Regelung zur Datenschutz-Folgenabschätzung (Art. 33 DS-GVO-E; s. noch Art. 31 des Entwurfs vom November 2011) fehlt in der RL-E ebenso wie Bestimmungen zum Einsatz zertifizierter Technologien (Art. 39 DS-GVO-E).
Kapitel V enthält abschließende (Art. 33) Regelungen zur Übermittlung in Drittländer und an internationale Organisationen. Von diesen sind Übermittlungen zwischen den Mitgliedstaaten sowie an oder von Stellen der EU abzugrenzen. Letztere werden in der Systematik der RL-E nicht von Übermittlungen zwischen verschiedenen Behörden eines einzelnen Mitgliedstaats unterschieden, sodass sich die Zulässigkeit nach den allgemeinen Verarbeitungsgrundsätzen der RL-E und den Bestimmungen gesonderter Rechtsakte richtet, die nach Art. 59 unberührt bleiben.
Die detaillierten Bestimmungen über Aufsichtsbehörden (Kapitel VI) entsprechen vielfach der DS-GVO-E, insbesondere die völlige Unabhängigkeit und das Recht auf angemessene Ausstattung (Art. 40), Anforderungen an die Person (Art. 41) und die Errichtung der Aufsichtsbehörde (Art. 42). Bei den Aufgaben (Art. 45) besteht sogar praktisch Gleichlauf mit Art. 52 DSGVO- E. Die Befugnisse (Art. 46) sind demgegenüber deutlich eingeschränkt (der Entwurf hatte hier mehr Regelungen aus der DS-GVO-E übernommen), beinhalten aber „wirksame Einwirkungsbefugnisse“, die auch die Beschränkung, Löschung oder Vernichtung der Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung umfassen. Dies entspricht Art. 25 des Rahmenbeschlusses.
Kapitel VII enthält Regeln zur Zusammenarbeit der Aufsichtsbehörden (Art. 48) und Aufgaben des Europäischen Datenschutzausschusses (Art. 49, s. Art. 64 ff. DS-GVO-E). Ein Kohärenzverfahren wie in Art. 57 ff. DS-GVO-E fehlt; dementsprechend ist auch die Rolle der Kommission deutlich schwächer als dort. In Kapitel VIII sind die Rechte auf Beschwerde bei der Aufsichtsbehörde (Art. 50; einschließlich eines Verbandsklagerechts auch unabhängig von individuellen Beschwerden), Rechtsbehelfe gegen diese (Art. 51, einschließlich der Verpflichtung zum Tätigwerden, aber anders als in Art. 74 Abs. 4 DSGVO- E ohne die Möglichkeit, die Aufsichtsbehörde des eigenen Mitgliedstaats um Klage gegen die Behörde eines anderen Staates zu ersuchen) sowie gegen die verantwortlichen Kriminalbehörden und Auftragsdatenverarbeiter geregelt (Art. 52; anders als nach Art. 75 Abs. 2 Satz 2 DS-GVO-E ist allerdings keine Klage im eigenen Mitgliedstaat gegen Verantwortliche möglich, die in einem anderen Mitgliedstaat ansässig sind; anders noch der Entwurf). Haftung und Schadensersatz (Art. 54) entsprechen der DS-GVO-E, während die Sanktionen für Verstöße in Art. 55 weithin der Regelungsbefugnis der Mitgliedstaaten überlassen werden. Diese bestimmen somit beispielsweise, ob wie nach Art. 79 DS-GVO-E verwaltungsrechtliche Sanktionen auch gegenüber Behörden zulässig sind.
Kapitel IX enthält die Regeln zu delegierten Rechtsakten und Durchführungsakten, die sich aber nur noch auf Art. 28 Abs. 5 beziehen. Der Entwurf hatte hier noch deutlich mehr Bestimmungen enthalten. In den Schlussbestimmungen (Kapitel X) werden der Rahmenbeschluss aufgehoben, das Verhältnis zu weiteren Rechtsakten bestimmt und eine Evaluationspflicht der Kommission normiert.
III. Anwendungsbereich
Gem. Art. 2 Abs. 1 gilt die RL-E für die Datenverarbeitung durch die „zuständigen Behörden zu den in Art. 1 Abs. 1 genannten Zwecken“. Der Begriff der Behörde ist sehr unglücklich gewählt, weil die RL-E auch Gerichte erfasst, soweit sie imSicherheitsbereich tätig sind. Dies stellt EG 55 ausdrücklich klar, und einige der Normen beziehen sich sogar direkt auf die gerichtliche Datenverarbeitung (z.B. Art. 11 Abs. 4 lit. a, Art. 13 Abs. 1 lit. a, Art. 17). Die nationalen Gerichte unterliegen also dem materiellen Datenschutzrecht und sind nach Art. 44 Abs. 2 lediglich in ihrer Stellung als Rechtsprechungsorgane von der Kontrolle der Aufsichtsbehörden ausgenommen. Nach Art. 2 Abs. 2 ist erforderlich, dass es sich entweder um eine (teil-)automatisierte oder dateimäßige Verarbeitung handelt. Erfasst sind zunächst Datenerhebungen mittels automatisierter Ermittlungsmethoden (Telekommunikationsüberwachung, Vorratsdatenspeicherung, Online-Durchsuchung, Videoüberwachung, Kfz-Kennzeichenerfassung etc.). Daneben unterfallen auch manuelle Maßnahmen dem Anwendungsbereich, wenn die gewonnenen Daten – wie beispielsweise erkennungsdienstliche Unterlagen – automatisiert oder in einer Datei verarbeitet werden sollen. Der Dateibegriff setzt dabei gem. Art. 3 Abs. 5 keine elektronische Verarbeitung voraus. Nach EG 15 soll er dementsprechend auch Akten und Aktensammlungen umfassen, wenn sie nach „bestimmten Kriterien“ geordnet werden können. Je nachdem, welche Anforderungen an ein solches Ordnungskriterium gestellt werden, könnte es bereits ausreichen, wenn eine Akte ein Aktenzeichen trägt und etwa nach dem Deliktstyp oder dem Namen des Betroffenen umsortiert werden kann. Jedenfalls dürften mit der absehbaren flächendeckenden Verbreitung elektronischer Vorgangsbearbeitungssysteme in naher Zukunft so gut wie alle Datenverarbeitungen der Kriminalbehörden in den Anwendungsbereich fallen. Spätestens dann wären nur noch rein manuelle Maßnahmen wie etwa eine Personenkontrolle ausgenommen, und auch dies nur, solange die erlangten Daten weder mit einer Datei (etwa dem Fahndungsbestand) abgeglichen noch gespeichert werden. Die Kommission nennt den begrenzten Anwendungsbereich des Rahmenbeschlusses – insbesondere die Ausklammerung der innerstaatlichen Datenverarbeitung der Kriminalbehörden in Art. 1 Abs. 2 – als einen wesentlichen Grund für das Reformvorhaben. Dementsprechend klammert Art. 2 Abs. 3 lit. a lediglich Tätigkeiten aus, die wie die nationale Sicherheit prinzipiell nicht in den Anwendungsbereich des Unionsrechts fallen. Was genau der Bereich der nationalen Sicherheit i.S.d. RL-E umfasst, wird weder dort noch im einschlägigen EG 15 definiert. Neben dem Verteidigungsbereich wird man wohl auch die Tätigkeit der Inlands- und Auslandsgeheimdienste dazuzählen müssen. Das würde in Deutschland insbesondere die Datenverarbeitungsregelungen im G 10, BNDG, MADG, BVerfSchG und den entsprechenden Gesetzen der Länder betreffen. Die Ausnahme für Organe, Einrichtungen, Ämter und Agenturen der Union in Art. 2 Abs. 3 lit. b ist regelungstechnisch verständlich, da insoweit andere Rahmenbedingungen gelten. Es ist allerdings kaum nachvollziehbar, dass die Kommission – die immerhin mit dem Anspruch eines „europäischen Datenschutzrahmens für das 21. Jahrhundert“ auftritt – nicht zugleich einen Vorschlag für die Institutionen der Union vorgelegt hat. Insbesondere die Datenschutzregeln für Europol sind in der Vergangenheit vielfach und zu Recht als ungenügend kritisiert worden. Zumindest mittelfristig sind hier einheitliche Regeln für die nationalen Kriminalbehörden einerseits und für Europol und Eurojust andererseits erforderlich.
IV. Ausgewählte Regelungsfelder
1. Voraussetzungen einer Datenverarbeitung
Die RL-E regelt zumindest weitgehend nicht selbst, welche Datenverarbeitungen erlaubt sein sollen. Sie setzt vielmehr Erlaubnisnormen im Unionsrecht und im Recht der Mitgliedstaaten voraus. Für mitgliedstaatliche Erlaubnistatbestände enthält die RL-E dabei materielle Mindestanforderungen. Diese fallen allerdings auf den ersten Blick ausgesprochenmager aus. Gerade an dieser Stelle wurde nämlich die RL-E gegenüber dem Entwurf erheblich entschärft, der im November 2011 bekannt wurde. Strenge Anforderungen ergeben sich allerdings, wenn die einschlägigen Normen grundrechtlich aufgeladen werden. Der Entwurf vom November 2011 errichtete in Art. 4 und Art. 7 noch hohe Anforderungen an das mitgliedstaatliche Recht: Er enthielt detaillierte Vorgaben für den Inhalt von Normen, die Datenverarbeitungen der Kriminalbehörden regeln. Hinzu kamen prozedurale Vorkehrungen für Zugriffe der Kriminalbehörden auf Datenbestände, die nicht zu kriminalbehördlichen Zwecken angelegt wurden. Schließlich war ein umfassendes Verwendungsverbot für rechtswidrig verarbeitete Daten vorgesehen, das etwa die deutsche Dogmatik der strafprozessualen Beweisverwertungsverbote weitgehend obsolet gemacht und durch eine radikale fruit of the poisonous tree-Doktrin ersetzt hätte. Hingegen enthält die RL-E nur noch wenige Anforderungen an mitgliedstaatliche Datenverarbeitungen, die zudem recht vage formuliert sind. Immerhin ist die Einwilligung des Betroffenen im Katalog zulässiger Verarbeitungsgründe in Art. 7 nicht aufgeführt und damit kein Rechtfertigungsgrund für eine Datenverarbeitung der Kriminalbehörden. Die dahinter stehende Wertung, dass der Betroffene über eine Einwilligung gegenüber einer Sicherheitsbehörde niemals autonom entscheiden wird, entspricht Art. 7 Abs. 4 DS-GVO-E. Diese Norm schließt die Einwilligung aus, wenn zwischen dem Betroffenen und dem Verantwortlichen ein erhebliches Ungleichgewicht besteht. Praktisch wäre der Ausschluss der Einwilligung durchaus bedeutsam. Insbesondere dürfte eine Kriminalbehörde nicht den Betroffenen fragen, ob er bereit ist, eine Ermittlungsmaßnahme „freiwillig“ zu dulden, deren gesetzliche Voraussetzungen nicht vorliegen („Sie haben doch nichts dagegen“-Fälle). Hingegen scheint die RL-E gesetzliche Verarbeitungsbefugnisse fast vollständig in das Belieben der Mitgliedstaaten zu stellen. Art. 4 beschränkt sich nunmehr darauf, allgemeine Grundsätze für Datenverarbeitungen aufzustellen. Art. 7 zählt hingegen die zulässigen Typen von Erlaubnistatbeständen auf. Art. 7 lit. a, der in der Praxis absehbar im Vordergrund stehen wird, erlaubt gesetzliche Datenverarbeitungsregelungen bereits dann, wenn die Verarbeitung zu den Zwecken der Kriminalprävention oder Strafverfolgung erforderlich ist. Nähere inhaltliche Vorgaben an solche Regelungen fehlen. Es drängt sich das Gefühl auf, dass seit dem ersten bekanntgewordenen Entwurf vom November 2011 massiv interveniert wurde, um zu verhindern, dass den informationellen Befugnissen der Kriminalbehörden wirksame Grenzen gesetzt werden. Der Eindruck, die RL-E errichte keine echten Hürden für solche Befugnisse, könnte jedoch trügen. Gehaltvollere Aussagen zu den unionsrechtlichen Grenzen für mitgliedstaatliche Verarbeitungsregelungen lassen sich treffen, wenn diese Regelungen und ihr Vollzug an dem unionsrechtlichen Grundrecht auf Datenschutz aus Art. 8 GRCh zu messen sind. Dafür kommt es nach Art. 51 Abs. 1 Satz 1 GRCh maßgeblich darauf an, ob die Mitgliedstaaten Unionsrecht durchführen, wenn sie solche Verarbeitungsregelungen schaffen und anwenden. Hiergegen lässt sich zwar einwenden, dass Art. 7 lit. a den Mitgliedstaaten lediglich ermöglicht, ihren Kriminalbehörden bestimmte Datenverarbeitungen zu erlauben, dies aber nicht gebietet. Auch errichtet die Norm dem Wortlaut nach nur rudimentäre Anforderungen an die mitgliedstaatlichen Erlaubnistatbestände und belässt den Mitgliedstaaten damit einen fast unbegrenzten Regelungsspielraum. Gleichwohl bewegen sich die Mitgliedstaaten auf Grund von Art. 7 im Anwendungsbereich des Unionsrechts, wenn sie von diesem Spielraum Gebrauch machen. Für eine Anwendung von Art. 8 GRCh spricht zudem, dass die Kompetenzregelung in Art. 16 AEUV, auf der die RL-E beruht, das Datenschutzgrundrecht ausdrücklich wiederholt. Es liegt in der Folge nahe, die Rechtsakte, die auf der Grundlage dieses Kompetenztitels ergehen, so auszulegen, dass dieses Grundrecht möglichst weitgehend zur Geltung kommt. Schließlich weist die Rechtsprechung des EuGH zum Anwendungsbereich der Unionsgrundrechte, wenngleich sie durchaus noch Fragen offen lässt, einen deutlichen expansiven Zug auf. Insbesondere hat der Gerichtshof bereits angedeutet, dass die Mitgliedstaaten bei der Richtlinienumsetzung auch insoweit an die Unionsgrundrechte gebunden sind, als sie Regelungsspielräume ausfüllen, die eine Richtlinie ihnen belässt. Sind die Mitgliedstaaten an Art. 8 GRCh gebunden, wenn sie im Anwendungsbereich der RL-E kriminalbehördliche Datenverarbeitungsbefugnisse schaffen, so bildet Art. 7 lit. a den Ausgangspunkt für eine umfassende Grundrechtsrechtsprechung des EuGH zum Datenschutz gegenüber Kriminalbehörden. Bei der Konkretisierung von Art. 8 GRCh wäre gem. Art. 52 Abs. 3 GRCh der partiell gleichläufige Art. 8 EMRK heranzuziehen. Dabei könnte der EuGH auch an die Rechtsprechung des EGMR anknüpfen, der bereits zahlreiche Entscheidungen zu kriminalbehördlichen Überwachungsmaßnahmen getroffen hat. Da die Konventionsrechte zudem lediglich einen Mindeststandard errichten, könnte der EuGH über die konventionsrechtlichen Anforderungen sogar noch hinausgehen. In der Folge könnte der Gerichtshof zur zentralen Institution des Grundrechtsschutzes im Sicherheitsrecht werden.
2. Benachrichtigung des Betroffenen einer heimlichen Datenerhebung
Das Recht des Betroffenen, davon zu erfahren, wer welche personenbezogenen Daten über ihn verarbeitet, ist das grundlegende Datenschutzrecht, weil er ohne diese Kenntnis seine weiteren Rechte praktisch nicht ausüben kann und eine strukturelle Unkenntnis über hoheitliche Datenverarbeitungen mit einem rechtsstaatlichen Gemeinwesen unvereinbar ist. Im Verhältnis zu den Kriminalbehörden ist dieses Recht für den Betroffenen besonders bedeutsam. Denn diese Behörden sind in großem Umfang befugt, personenbezogene Daten ohne Mitwirkung oder Kenntnis des Betroffenen zu erheben. Der Betroffene ist grundsätzlich darauf angewiesen, dass die zuständige Behörde ihn aktiv von heimlichen Datenerhebungen benachrichtigt, da er in der Regel keinen Anlass haben wird, sich aus eigener Initiative über solche Datenerhebungen zu informieren. Art. 11 trägt dem Informationsinteresse des Betroffenen Rechnung, indem die Mitgliedstaaten verpflichtet werden, Informationspflichten bei offenen wie verdeckten Datenerhebungen zu schaffen. Dabei errichtet Art. 11 Abs. 1 detaillierte Anforderungen an den Inhalt der Information. Diese Anforderungen gehen über die bisherigen Benachrichtigungspflichten des deutschen Rechts – beispielsweise nach § 101 Abs. 4 StPO oder § 20w Abs. 1 BKAG – deutlich hinaus. Hingegen enthält Art. 11 Abs. 4 einen Ausnahmevorbehalt, der die grundsätzliche Benachrichtigungspflicht nach seinem Wortlaut erheblich relativiert. Danach dürfen die Mitgliedstaaten die Unterrichtung des Betroffenen aus einer Vielzahl von Gründen hinauszögern, einschränken oder unterbinden. Die Ausnahmegründe sind zudem durchweg sehr offen formuliert. So ermöglicht Art. 11 Abs. 4 lit. b ein Absehen von der Benachrichtigung „zur Gewährleistung, dass die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten nicht beeinträchtigt“ wird. Nach dem Wortlaut ist damit nicht erforderlich, dass es um die Straftaten geht, die den Anlass der Datenerhebung gebildet haben. Es muss sich nicht einmal um Straftaten handeln, an denen der Betroffene beteiligt ist oder mit denen er sonst in irgendeiner Verbindung steht. Insbesondere bei Ermittlungen in komplexen Strukturen der organisierten Kriminalität oder des Terrorismus könnte auf dieser Grundlage die Benachrichtigungspflicht weitgehend ausgehebelt werden. Solche Ermittlungen sollen vielfach ein fortlaufendes kriminelles Geschehen längerfristig beobachten und analysieren, um die betroffenen Strukturen möglichst umfassend zu zerschlagen. Es wird sich nahezu stets begründen lassen, dass eine Benachrichtigung dieses „operative“ Ziel gefährdet. Auch die Ausnahmevorbehalte „zur Gewährleistung, dass behördliche oder gerichtliche Ermittlungen, Untersuchungen oder Verfahren nicht behindert werden“ (Art. 11 Abs. 4 lit. a) und „zum Schutz der öffentlichen Sicherheit“ (Art. 11Abs. 4 lit. c) sind ausgesprochenweit gefasst. Weiter dürfen die Mitgliedstaaten nach Art. 11 Abs. 5 Kategorien von Datenverarbeitungen festlegen, auf welche die Ausnahmeregelung nach Abs. 4 ganz oder teilweise anzuwenden ist. Dies dürfte so zu verstehen sein, dass für bestimmte Datenverarbeitungsarten eine Information des Betroffenen abstrakt-generell und damit ohne Rücksicht auf den Einzelfall ausgeschlossen werden kann. Allerdings steht die Einschränkung der Benachrichtigung nach Art. 11 Abs. 4 unter dem Vorbehalt, dass sie verhältnismäßig ist. Die Anforderungen des Verhältnismäßigkeitsgrundsatzes sind wiederum auf der Grundlage der Unionsgrundrechte zu konkretisieren. Einschlägig ist auch insoweit Art. 8 GRCh. Hinzu tritt möglicherweise die Rechtsschutzgarantie des Art. 47 GRCh. Dazu müsste dieses Grundrecht – analog zur Rechtsprechung des BVerfG zu Art. 19 Abs. 4 GG – Anforderungen an das behördliche Verfahren errichten, um einen wirksamen gerichtlichen Rechtsschutz zu ermöglichen. Wegen der zentralen Bedeutung der Benachrichtigung des Betroffenen nach einer heimlichen Ermittlungsmaßnahme sind die Ausnahmetatbestände des Art. 11 Abs. 4 daher restriktiv auszulegen. So wäre es unverhältnismäßig, die Benachrichtigung über einen längeren Zeitraum oder dauerhaft nur deshalb auszuschließen, weil ansonsten bestimmte Informationsquellen nicht mehr genutzt werden könnten oder der Betroffene irgendwelche Rückschlüsse auf Arbeitsweise und Erkenntnisinteressen der Behörde ziehen könnte. Vielmehr ist grundsätzlich zu fordern, dass das Benachrichtigungsinteresse des Betroffenen mit den Geheimhaltungsbelangen der Behörde auf Grund aller relevanten Umstände des Einzelfalls abgewogen wird. In der Folge dürfte Abs. 5, der den Mitgliedstaaten ermöglicht, die Benachrichtigung ohne solche Einzelfallabwägung auszuschließen, nur einen schmalen Anwendungsbereich haben. Für das deutsche Recht relevant ist schließlich, dass Art. 11 eine Ausnahme von der Benachrichtigung des Betroffenen nicht bereits deshalb ermöglicht, weil die Datenerhebung seine Belange nur geringfügig berührt hat oder weil die Benachrichtigung aufwändig wäre. Der von beiden Senaten des BVerfG gebilligte Ausschlusstatbestand in § 101 Abs. 4 Satz 4 StPO, nach dem Drittbetroffene bestimmter Ermittlungsmaßnahmen nicht zu benachrichtigen sind, wenn sie von der Maßnahme nur unerheblich betroffen wurden und anzunehmen ist, dass sie kein Interesse an einer Benachrichtigung haben, wäre daher mit der RL-E nicht vereinbar.
3. Datenübermittlungen in Drittländer
Art. 13 des Rahmenbeschlusses enthielt bislang lediglich eine Regelung für die Weiterleitung in Drittstaaten, wenn die Sicherheitsbehörden eines Mitgliedstaates personenbezogene Daten von Behörden eines anderen Mitgliedstaates erhalten hatten. Art. 33 ff. sind demgegenüber bei jeder Übermittlung in ein Drittland zu beachten. Die Frage ist von besonderer Bedeutung, weil die so übermittelten Daten dort anderen – typischerweise weniger strengen – Verarbeitungsregeln unterworfen sind und beispielsweise bei Auslandsaufenthalten persönliche Nachteile mit sich bringen können. Grundvoraussetzung für alle Übermittlungen ist gem. Art. 33 lit. a, dass die Übermittlung zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Strafvollstreckung erforderlich ist. Hinzutreten muss nach Art. 33 lit. b ein Erlaubnistatbestand, nämlich Angemessenheitsbeschluss (Art. 34), geeignete Garantien (Art. 35) oder weitere Ausnahmetatbestände (Art. 36). Angemessenheitsbeschlüsse können entweder auf der Basis von Art. 41 DS-GVO-E oder – dann sektorspezifisch für den Bereich des Sicherheitsrechts – nach Art. 34 Abs. 2–4 ergehen; Art. 34 Abs. 5 lässt auch die Feststellung des Fehlens eines angemessenen Schutzes zu. An die Stelle eines Angemessenheitsbeschlusses können nach Art. 35 Abs. 1 lit. a „geeignete Garantien“ treten, wenn diese in einem rechtsverbindlichen Instrument vorgesehen sind. Anders als in Art. 42 Abs. 2 DS-GVO-E werden weder diese Instrumente noch rechtliche Anforderungen an sie definiert, sodass ihr Effekt im Vagen bleibt. Art. 35 Abs. 2 lit. b lässt es sogar ausreichen, dass der Verantwortliche „alle Umstände beurteilt hat, die bei der Übermittlung personenbezogener Daten eine Rolle spielen, und zu der Auffassung gelangt ist, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen“. Dieses Vorgehen muss nach Art. 35 Abs. 2 zwar dokumentiert und die Dokumentation der Aufsichtsbehörde zur Verfügung gestellt werden. Eine normative Sicherung ist damit aber kaum noch verbunden: Ein rechtsverbindliches Instrument wird nicht verlangt, und die Garantien müssen überdies nach demWortlaut von lit. b nur in der ex ante- Perspektive der handelnden Personen bestehen. Art. 36 ist schließlich mit „Ausnahmen“ betitelt, enthält der Sache nach aber Vorschriften für die gesamte Tätigkeit der Sicherheitsbehörden. Allein Art. 36 lit. d lässt alle übrigen Übermittlungsvorschriften von Kapitel V überflüssig werden. Danach soll es als „Ausnahme“ möglich sein, Daten in ein Drittland oder an eine internationale Organisation zu übermitteln, wenn dies zur „Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Strafverfolgung erforderlich ist“. Dies ist jedoch bereits nach dem wortgleichen Art. 33 lit. a erforderlich, sodass Art. 33 lit. a und lit. b (über Art. 36 lit. d) denselben normativen Inhalt haben. Die übrigen Regelungen des Kapitels sind daneben regelungstechnisch überflüssig und rechtsstaatlich schädlich, da sie vorgeben, ein Sicherungsmittel zu sein, das de facto nicht besteht. Der Schutzstandard bleibt damit letztlich sogar noch hinter der aktuellen Rechtslage zurück, da Art. 13 Abs. 3 lit. a des Rahmenbeschlusses eine Datenübermittlung ohne entsprechende Garantien des Drittstaats nur wegen „überwiegender berechtigter Interessen, insbesondere wichtiger öffentlicher Interessen“ zulässt. Im Ergebnis verzichtet die RL-E damit auf echte materielle Anforderungen an die datenschutzrechtlichen Regelungen in den Drittländern, an die die Sicherheitsbehörden personenbezogene Daten übermitteln. Dies sollte durch eine Beschränkung der Ausnahmeregelungen in Art. 36 geändert werden. Auch Art. 35 sollte deutlich restriktiver gefasst werden, um den Schutz des Betroffenen nicht weitgehend in das Belieben der übermittelnden Behörde zu stellen.
V. Ausblick: Zukunft des Grundrechtsschutzes im Sicherheitsrecht
Insgesamt enthält die RL-E neben einer Vielzahl von Verbesserungen und Präzisierungen für den Datenschutz im Sicherheitsrecht auch eine Reihe offener Fragen, insbesondere im Bereich der Übermittlungsvorschriften. Die grundlegenden materiellrechtlichen Vorgaben der RL-E sind überwiegend bereits im deutschen Recht enthalten, sodass sich bei der Verabschiedung des Entwurfs zwar in Teilbereichen, nicht aber grundsätzlich ein Anpassungsbedarf ergeben würde. Mittelfristig ergibt sich das größte Veränderungspotenzial für die Bundesrepublik ausgerechnet im Hinblick auf Fragen, die auf den ersten Blick in der RL-E gar nicht geregelt sind. Diese könnte das Sicherheitsrecht der Mitgliedstaaten nämlich vor allem dann erheblich beeinflussen, wenn sie dazu führt, dass mitgliedstaatliche Normen an den Unionsgrundrechten zu messen sind. Auf Grund der bisherigen Rechtsprechung des EuGH zum Anwendungsbereich der Unionsgrundrechte erscheint wahrscheinlich, dass der EuGH eine solche Grundrechtsbindung im Anwendungsbereich der RL-E bejahen wird. Damit würden die Unionsgrundrechte in weitem Umfang einen besonders sensiblen Regelungsbereich erfassen, der als Lackmustest für die rechtsstaatliche Schlagkraft einer Grundrechtsordnung dienen kann. Dies könnte weitreichende inhaltliche und vor allem institutionelle Konsequenzen haben. Inhaltlich steht zwar nicht zu erwarten, dass der Schutz der Unionsgrundrechte flächendeckend über die Grundrechte des Grundgesetzes hinausginge. Denn zumindest der Erste Senat des BVerfG hat in jüngerer Zeit bereits hohe Anforderungen an kriminalbehördliche Datenverarbeitungsbefugnisse errichtet. Hingegen könnten sich aus den Unionsgrundrechten durchaus einzelne Anforderungen ergeben, die den Schutzstandard des Grundgesetzes überschreiten. So hat der EuGH aus Art. 8 GRCh eine Pflicht der Gesetzgebungsorgane der EU hergeleitet, die Grundrechte der Betroffenen im Gesetzgebungsverfahren umfassend gegen die kollidierenden öffentlichen Belange abzuwägen. Vergleichbare Berücksichtigungspflichten und Abwägungslasten des Gesetzgebers finden sich in der sicherheitsrechtlichen Rechtsprechung des BVerfG nicht. Das Gericht prüft allein, ob das Gesetz als Ergebnis des Gesetzgebungsverfahrens materiell grundrechtskonform ist. Für die Bundesrepublik besonders bedeutsam erscheinen die absehbaren institutionellen Auswirkungen, wenn Datenverarbeitungsregelungen im deutschen Sicherheitsrecht an den Unionsgrundrechten zu messen wären. Diese Auswirkungen beträfen zum einen das Verhältnis von BVerfG und Fachgerichten, zum anderen die Stellung des EuGH im Gefüge des europäischen Grundrechtsschutzes. Jedes deutsche Gericht könnte und müsste in der Folge eine streitentscheidende Befugnisregelung unangewandt lassen, wenn sie ein Unionsgrundrecht verletzt. Das Verwerfungsmonopol des BVerfG aus Art. 100 Abs. 1 GG bliebe danach zwar rechtlich bestehen, würde aber faktisch deutlich relativiert. Unionsrechtlich wären die deutschen Gerichte hingegen nicht zwingend verpflichtet, den EuGH zu befassen, bevor sie eine deutsche Norm unangewandt lassen. Unterinstanzliche Gerichte müssten dies nie, und selbst für letztinstanzlich entscheidende Gerichte bestünde eine Vorlagepflicht nach Art. 267 Abs. 3 AEUV nur, wenn die maßgebliche Grundrechtsfrage noch nicht geklärt ist und sich auch nicht eindeutig beantworten lässt. Zumindest hätte das Gericht in der Regel die Wahl, ob es ein Vorabentscheidungsersuchen an den EuGH oder eine Gültigkeitsvorlage an das BVerfG richtet. In dieser Situation erschiene es aus fachgerichtlicher Perspektive angesichts der sehr restriktiven Rechtsprechung des BVerfG und der sehr großzügigen Rechtsprechung des EuGH zur Zulässigkeit von Richtervorlagen durchaus attraktiv, zunächst den Weg über Art. 267 AEUV einzuschlagen. Insgesamt wertet die RL-E den EuGH institutionell erheblich auf. Der Gerichtshof würde anders als die nationalen Verfassungsgerichte grundrechtliche Schutzgehalte für die ganze oder jedenfalls für den größten Teil der EU festlegen. In der Folge dürften Bedeutung und faktischer Entscheidungsspielraum der nationalen Verfassungsgerichte in diesem zentralen Grundrechtsbereich deutlich schrumpfen. Zwar blieben die nationalen Grundrechte anwendbar, soweit die RL-E keine zwingenden Vorgaben macht. Eine schlagkräftige Grundrechtsjudikatur des EuGH würde aber mittelfristig die Frage aufwerfen, welchen Sinn eine mehrfache Kontrolle des nationalen Sicherheitsrechts anhand unterschiedlicher Grundrechtskataloge ergibt. Zur Auslegung der Unionsgrundrechte müsste der Gerichtshof weiter zwar die EMRK und wohl auch die Rechtsprechung des EGMR heranziehen. Wie eng der EuGH nach Art. 52 Abs. 3 GRCh letztlich an die Konvention gebunden ist, ist aber bislang wenig geklärt. Jedenfalls würde der EuGH regelmäßig vor dem EGMR befasst und könnte so die Initiative ergreifen. Zudem verfügt der EuGH anders als der EGMR wegen des Anwendungsvorrangs des Unionsrechts über quasi-kassatorische Befugnisse. Der Gerichtshof könnte so die Schlagkraft der Konvention mittelbar erhöhen, ihre unmittelbare Bedeutung jedoch zugleich vermindern. Die RL-E installiert damit den EuGH als maßgeblichen Akteur des Grundrechtsschutzes im Sicherheitsrecht. Ob der EuGH, sollte die Richtlinie in Kraft treten, diese Rolle tatsächlich offensiv ausfüllt, dürfte allerdings auch davon abhängen, ob er sich zutraut, die damit verbundene Arbeitslast zu bewältigen.
Prof. Dr. Matthias Bäcker, LL.M. ist Juniorprofessor für Öffentliches Recht an der Universität Mannheim. Prof. Dr. Gerrit Hornung, LL.M. ist Inhaber des Lehrstuhls für Öffentliches Recht, IT-Recht und Rechtsinformatik an der Universität Passau, der auch in das Institute of IT-Security and Security Law (ISL) der Universität eingebunden ist.
0 Ergänzungen
Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.