Seit über 1.000 Tagen ist die Frist für die Umsetzung der EU-Datenschutz-Richtlinie im Bereich Justiz und Inneres (JI-Richtlinie) abgelaufen. Sie wurde im Jahr 2016 gemeinsam mit der europäischen Datenschutz-Grundverordnung (DSGVO) verabschiedet und regelt den Datenschutz bei der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten und der Strafvollstreckung. In einer Pressemitteilung hat der Bundesbeauftrage für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber die Bundesregierung für ihren nachlässigen Umgang mit der Umsetzung kritisiert, denn ihm fehlen so wichtige Befugnisse:
Ich kann Datenschutzverstöße bei Bundespolizei und Zollfahndung nur beanstanden. Ohne nationale Gesetze fehlen mir wirksame Durchsetzungsbefugnisse. Das untergräbt die demokratische Legitimation der Datenschutzaufsicht und der Strafverfolgungsbehörden gleichzeitig.
Im Gegensatz zu einer Verordnung gilt eine Richtlinie nicht sofort: Die Mitgliedsstaaten der europäischen Union müssen die Anforderungen der EU-Richtlinien erst in nationales Recht überführen und entsprechende Gesetze erlassen. Dabei handelt es sich um Mindeststandards, die länderspezifische Sonderregelungen und Gesetzeserweiterungen zulassen. Für die Umsetzung legt die EU eine Frist fest, bei der JI-Richtlinie ist diese im Mai 2018 abgelaufen.
Kelber drängt auf sofortiges Handeln des Gesetzgebers
Gemäß der JI-Richtlinie sollen Datenschutzaufsichtsbehörden wie der deutsche BfDI umfangreiche Anordnungskompetenzen gegenüber den entsprechenden Behörden in Justiz und Polizei erhalten. Kelber fordert ein sofortiges Handeln des Gesetzgebers. Statt langwierig die einzelnen Fachgesetze wie etwa das Bundespolizeigesetz einzeln anzupassen, könnte der Gesetzgeber auch das Bundesdatenschutzgesetz ändern, schlägt Kelber vor.
Das Ziel der JI-Richtlinie ist die europaweite Angleichung und Stärkung von Datenschutz in den Bereichen Polizei und Justiz. Ulrich Kelber fehlen durch das Zögern der deutschen Legislative wichtige Voraussetzungen zur gerichtlichen Verfolgung von Datenschutzverstößen bei Bundespolizei und Zollfahndung. Dabei sind konsequente Datenschutz-Maßnahmen gerade bei diesen Institutionen nötig, da sie zum Teil hochsensible Daten verarbeiten.
Welche Folgen hat ein Aufschub der JI-Richtlinie?
Die Nicht-Umsetzung der JI-Richtlinie ist laut Kelber europarechtswidrig. Eine Vertragsverletzung durch die Bundesregierung kann die EU-Kommission juristisch verfolgen. Im Mai 2020 forderte die Kommission Deutschland auf, die Umsetzung der Richtlinie abzuschließen.
Es ist nicht das erste Mal, dass Kritik am Vorgehen der Bundesregierung hinsichtlich der JI-Richtlinie geäußert wird – schon die niedersächsische Datenschutzbeauftragte Barbara Thiel und etliche Sachverständige der Bundestagsanhörung um die Datenschutzreform beanstandeten deren unzureichende Umsetzung.
Diese Art Politik zu machen hat doch inzwischen leider System. Erst wird durch Untätigkeit dafür gesorgt dass man unter Zugzwang und Zeitdruck gerät, und bald wird dann ein eiliger Gesetzesvorschlag durchs Parlament gepeitscht, der zahlreiche kritische Punkt enthält und verfassungsrechtlich bedenklich ist.
Im inhaltlichen Teil der EU-Richtlinie,
https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016L0680&from=DE
der auf Seite 105 beginnt,
ist, meine Ich,
eine bemerkenswerte logische Widersprüchlichkeit und sprachliche Ungenauigkeit
In Kapitel 1, Artikel 1, (2) a) steht, wenn ich das korrekt lese,
dass “die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere bzgl personenbezogener (DNA-)Daten, zu schützen sind.“
Das finde ich persönlich ethisch gut und sozial sinnvoll.
Im nächsten Artikel 2b) steht allerdings sinngemäß,
“dass ein (Anm. meinerseits: anscheinend immer totaler und umfangreicher werdender) Datenaustausch, […]
n i c h t eingeschränkt und verboten werden darf.“
Das hört sich doch merkwürdig an, oder nicht?
Eine Kritik besagt doch, dass eben gerade durch den Datenaustausch die Rechte natürlicher Personen menschen- und grundrechtswidrig verletzt werden?!
Deswegen finde ich das eher schlecht, da die meiste Datenaustauscherei (von staatlichen, mit Steuergeldern bezahlten Institutionen, die laut Grundgesetz als allererste Priorität den Schutz der Menschenwürde als Motiv nutzen müssten) […] nicht transparent, nicht gecheckt und gebalanct und auch nicht basisdemokratisch-partizipistisch strukturiert ist.
Daraus ergeben sich dann allerdings wieder klassische “Macht-Korruption“-Problematiken uVm.
Fast spaßig wird’s, wenn man sich den angegebenen Grund anschaut, wegen welchem der Austausch “personenbezogener Daten“ nicht eingeschränkt werden dürfe, wenn man also die Satzkonstruktion ändert und lesbarer macht.
Dann steht da (lol):
“Gemäß dieser Richtlinie haben die Mitgliedstaaten […] sicherzustellen, dass der Austausch personenbezogener Daten zwischen den zuständigen Behörden in der Union, nicht aus Gründen eingeschränkt oder verboten wird, die mit dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verbunden sind.“
Häh?!
In 2a) steht “Datenschutz zum Schutze natürlicher Personen“ = “Supertoll und sehr wichtig!“
in 2b) steht, wenn der Schutz natürlicher Personen die Datenaustauscherei erschweren würde, diesen gar einschränken oder verbieten würde,
dann würde nicht die Datenaustauscherei verboten werden,
sondern
– tadaa –
dann würde verboten werden:
Der Schutz natürlicher Personen.
(und nicht die Datenaustauscherei).
Also, man könnte jetzt mal nachgucken, ob das nur ein Übersetzungsfehler war, ansonsten fände ich das etwas äh bemerkens- und kritisierenswert.
Ich sehe da keinerlei bemerkenswerte oder problematischen Normen. Da steht einfach nur dass Daten grundsätzlich zu schützen sind nur dann verwendet werden dürfen, wenn es einen Sachgrund wie Strafverfolgung dafür gibt. Umgekehrt darf der Datenaustusch zum Zweck der Strafvervolgung nicht mit dem Argument des Datenschutzes verhindert werden. Das klingt nur so verklausuliert weil dort Juristen eine abschließende Formulierung gesucht haben die ohne konkrete Zweckbestimmung auskommen muss.