143 82 2MB
German Pages 185 Year 2014
Schriften zum Strafrecht Band 270
Der Grundsatz der Verfügbarkeit von Informationen am Beispiel des Prümer Modells Von
Julia Victoria Pörschke
Duncker & Humblot · Berlin
JULIA VICTORIA PÖRSCHKE
Der Grundsatz der Verfügbarkeit von Informationen am Beispiel des Prümer Modells
Schriften zum Strafrecht Band 270
Der Grundsatz der Verfügbarkeit von Informationen am Beispiel des Prümer Modells
Von
Julia Victoria Pörschke
Duncker & Humblot · Berlin
Der Fachbereich V – Rechtswissenschaft – der Universität Trier hat diese Arbeit im Jahre 2013 als Dissertation angenommen.
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Alle Rechte vorbehalten
© 2014 Duncker & Humblot GmbH, Berlin
Fremddatenübernahme: Da-TeX Gerd Blumenstein, Leipzig Druck: buchbücher.de gmbh, Birkach Printed in Germany ISSN 0558-9126 ISBN 978-3-428-14351-1 (Print) ISBN 978-3-428-54351-9 (E-Book) ISBN 978-3-428-84351-0 (Print & E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706
Internet: http://www.duncker-humblot.de
Vorwort Die vorliegende Arbeit wurde im Wintersemester 2013/2014 vom Fachbereich Rechtswissenschaft der Universität Trier als Dissertation unter dem Titel „Der Grundsatz der Verfügbarkeit am Beispiel des Prümer Modells“ angenommen. Dieser Satz, dessen Aufnahme aufgrund der Promotionsordnung zu erfolgen hat, vermag es nicht im Ansatz auszudrücken, wofür er im Grunde steht. Stellvertretend steht er nicht nur für eine bereichernde Zeit als Wissenschaftliche Mitarbeiterin an der Universität Trier, sondern zugleich auch als Abschluss für eine Lebensetappe, welche mich wesentlich geprägt hat. Viele Menschen haben mich in dieser Zeit unterstützt, sodass ich ihnen an dieser Stelle meinen Dank aussprechen möchte. Mein voller Dank gilt zunächst meinem Doktorvater Herrn Prof. Dr. Mark A. Zöller für seine beispielhafte Betreuung. Ihm habe ich es zu verdanken, dass ich an die Universität Trier gelangte. Er hat es – nicht zuletzt auch durch die von ihm gehaltenen Doktorandenkolloquien – verstanden, mich immer wieder zu motivieren. Von Herzen möchte ich ebenfalls meinen „Chefs“ Frau Prof. Dr. Brigitte Kelker und Herrn Prof. Dr. Bernd Hecker für die Aufnahme an ihre Professuren danken. Während der Zeit als Mitarbeiterin an ihren Professuren haben sie mir den für die Promotion nötigen geistigen und zeitlichen Freiraum gewährt und standen durch konstruktive Gespräche jederzeit helfend zur Seite. Hieraus konnte ich maßgebliche Impulse für diese Arbeit gewinnen. Darüber hinaus danke ich Herrn Prof. Dr. Bernd Hecker zudem auch für die durch ihn erfahrene Förderung und die schnelle Erstellung des Zweitgutachtens. Ein weiterer Dank gilt dem gesamten Lehrstuhl-Team. Während meiner Beschäftigung sorgte die durchweg kollegiale und freundschaftliche Atmosphäre für die nötige Ablenkung, Aufmunterung und Unterstützung in den gemeinsamen Jahren. Einen ganz besonderen Dank möchte ich an Frau Marlies Kessler – die gute Seele der Professur – richten. Sie hatte immer ein offenes Ohr und ist eine gute Freundin geworden. Unverzichtbar war auch die Unterstützung, die ich durch meine Familie erhalten habe. Ohne ihre Geduld, Zuversicht und ihren Glauben an den gelungenen Abschluss der Dissertation wäre dieser Werdegang nicht möglich gewesen. Mit unendlicher Akribie und Geduld wurde das Korrekturlesen dieser Arbeit eine Familienangelegenheit. Mein besonderer Dank gilt Frau cand. iur. Pia Katinka Schroeder. Sie hat mir während der Zeit der Entstehung dieser Arbeit und den damit verbundenen Höhen und Tiefen zur Seite gestanden und mich durch ihren Zuspruch und ihr Verständnis bei der Erstellung dieser Arbeit getragen. Wegen ihrer Unterstützung gebührt zudem auch meinen Eltern aus ganzem Herzen großer Dank. Meiner Familie ist diese Arbeit daher gewidmet. Trier, im Frühling 2014
Julia Victoria Pörschke
Inhaltsverzeichnis § 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen A. Grundlegung des europäischen Informationsaustausches . . . . . . . . . . . . . . . I. Spezielle Ausformung im Bereich der polizeilichen Zusammenarbeit . . . . . . II. Begrifflichkeiten des Informationsaustausches . . . . . . . . . . . . . . . . . . 1. Die Begrifflichkeit der „Information“ . . . . . . . . . . . . . . . . . . . . . 2. Die Begrifflichkeit der „Daten“ . . . . . . . . . . . . . . . . . . . . . . . . 3. Die Begrifflichkeit des „Netzwerks“ . . . . . . . . . . . . . . . . . . . . . a) Kooperation als Maxime . . . . . . . . . . . . . . . . . . . . . . . . . . b) Horizontale und vertikale Kooperation . . . . . . . . . . . . . . . . . . III. Europarechtliche Rahmenbedingungen des Informationsaustausches im Rahmen der polizeilichen und justiziellen Zusammenarbeit . . . . . . . . . . . . . . . . 1. Primärrechtliche Kompetenzen zur Datenerhebung und -verwertung . . . . . a) Gesetzgebungskompetenzen vor Lissabon . . . . . . . . . . . . . . . . b) Gesetzgebungskompetenzen nach Lissabon (Art. 87 Abs. 2 AEUV) . . . 2. Gesetzgebungskompetenz der Union zum Erlass datenschutzrechtlicher Regelungen (Art. 16 Abs. 2 AEUV) . . . . . . . . . . . . . . . . . . . . . . 3. Allgemeine Kompetenzausübungsregeln . . . . . . . . . . . . . . . . . . . a) Subsidiaritätsprinzip (Art. 5 Abs. 1, 3 EUV) . . . . . . . . . . . . . . . b) Verhältnismäßigkeitsgrundsatz (Art 5 Abs. 1, 4 EUV) . . . . . . . . . . IV. Grundrechtliche Schutzebenen des Datenschutzes . . . . . . . . . . . . . . . . 1. Grundrechtliche Schranken des Datenschutzes innerhalb der EU . . . . . . . 2. Art. 16 Abs. 1 AEUV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Schutzbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Eingriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Schrankenlose Geltung? . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Art. 8 EMRK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Art. 8 GRC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Schutzbereich und Eingriff . . . . . . . . . . . . . . . . . . . . . . . . b) Schrankenregelungen des Art. 8 GRC . . . . . . . . . . . . . . . . . . . aa) Besondere Schrankenregelung des Art. 8 GRC . . . . . . . . . . . bb) Schrankensystematik des Art. 52 GRC . . . . . . . . . . . . . . . . cc) Art. 52 Abs. 3 S. 1 GRC . . . . . . . . . . . . . . . . . . . . . . . dd) Art. 52 Abs. 2 GRC . . . . . . . . . . . . . . . . . . . . . . . . . (1) Konsequenzen der Annahme einer unbeschränkten Geltung des Art. 16 Abs. 1 AEUV . . . . . . . . . . . . . . . . . . . . (2) Anwendung des Art. 52 Abs. 2 GRC . . . . . . . . . . . . . . ee) Zwischenergebnis der Schrankenregelungen . . . . . . . . . . . . . c) Folgeansprüche bei Verarbeitung personenbezogener Daten . . . . . . . aa) Auskunftsanspruch . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Berichtigungsanspruch . . . . . . . . . . . . . . . . . . . . . . . . 5. Fehlende rechtliche Überprüfbarkeit durch den EuGH . . . . . . . . . . . .
15 15 17 18 19 20 22 22 23 24 25 25 27 33 34 35 36 36 36 37 38 39 40 42 43 43 44 44 46 48 50 51 53 54 54 54 55 56
8
Inhaltsverzeichnis
B. Praxisprobleme des Austausches strafverfolgungsrelevanter Informationen I. Die Begrifflichkeit der „Informationshilfe“ . . . . . . . . . . . . . II. Hindernisse der effektiven Informationshilfe . . . . . . . . . . . . . 1. Fehlende direkte Zugriffsrechte auf Datenbanken . . . . . . . . . 2. Ermessensspielräume der Mitgliedstaaten . . . . . . . . . . . . . 3. Unterschiedliche Zugriffsrechte auf verfügbare Informationen . . 4. Fehlende Kenntnis über die Existenz von Informationen . . . . . 5. Fehlendes einheitliches Verfahren zum Informationsaustausch . . 6. Fehlende einheitliche Kontrollmechanismen . . . . . . . . . . . C. Die Konzeption des Grundsatzes der Verfügbarkeit . . . . . . . . . . . . I. Der Grundsatz des gleichberechtigten Zugangs . . . . . . . . . . . II. Der Grundsatz der gegenseitigen Anerkennung . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU im Bereich des RFSR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A. Der Trend zur Datenbank im Bereich der polizeilichen Zusammenarbeit . . . . . . . B. Dezentrale versus zentrale Datenbanken . . . . . . . . . . . . . . . . . . . . . . . . C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken . . . . . . . . . . . . . . . . I. Das „Datenpoolmodell“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Rahmenbeschlussentwurf des Rates zur Umsetzung des Grundsatzes der Verfügbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Anwendungsbereich des Rahmenbeschlussentwurfes . . . . . . . . . . . b) IT-Organisationsstruktur des RB-E . . . . . . . . . . . . . . . . . . . . aa) Online-Zugriff auf online verfügbare Informationen . . . . . . . . bb) Online-Zugriff auf Indexdaten bei nicht online verfügbaren Informationen . . . . . . . . . . . . . . . . . . . . . . c) Mangelnde Kenntnis ob und wo Informationen verfügbar sind . . . . . . d) Fehlen wirksamer Kontrollmechanismen – Datenschutz . . . . . . . . . e) Scheitern des Entwurfes . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Unbestimmter Anwendungsbereich des RB-E . . . . . . . . . . . . bb) Möglichkeiten des Zugriffs auf Informationen . . . . . . . . . . . . (1) Direkter Zugriff . . . . . . . . . . . . . . . . . . . . . . . . . (2) Indirekter Zugriff auf Indexdaten . . . . . . . . . . . . . . . . (3) Einbindung von Europol . . . . . . . . . . . . . . . . . . . . f) Verweigerungsgründe einer Informationsübermittlung . . . . . . . . . . g) Kein einheitliches Verfahren trotz Genehmigungspflichten . . . . . . . . h) Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Erstmaliges Scheitern des Verfügbarkeitsgrundsatzes . . . . . . . . . . . . . II. Das „Schleusenmodell“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Einbindung des Verfügbarkeitsgrundsatzes im Anschluss an die Informationshilfe: Die „Schwedische Initiative“ . . . . . . . . . . . . . . . a) Erfasste Informationskategorien . . . . . . . . . . . . . . . . . . . . . . b) Zuständige Behörden und Zeitpunkt des Informationsaustausches . . . . c) Konkrete Ausgestaltung der Informationsübermittlung . . . . . . . . . . d) Übermittlungsfristen innerhalb des Informationshilfeverfahrens . . . . . e) Verweigerungsgründe einer Informationsübermittlung . . . . . . . . . . f) Datenschutzkonzeption . . . . . . . . . . . . . . . . . . . . . . . . . . g) Stand der Umsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . h) Weiterentwickung oder Rückentwicklung des Prinzips der Verfügbarkeit? 2. Voranschaltung des Verfügbarkeitsgrundsatzes im Vorfeld der Informationshilfe: Das Prümer Modell . . . . . . . . . . . . . . . . . .
56 57 59 60 60 61 62 62 63 63 65 66 69 69 71 74 75 76 76 77 77 78 80 80 82 83 86 86 88 89 89 90 92 93 94 95 98 98 99 100 101 101 103 104 108
Inhaltsverzeichnis
9
§ 3 Das Prümer Modell der Verfügbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . A. Vom völkerrechtlichen Vertrag zum europäischen Beschluss . . . . . . . . . . . . . B. Regelungsgehalt des Prümer Modells . . . . . . . . . . . . . . . . . . . . . . . . . . I. Erfasste Datenkategorien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. DNA-Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Daktyloskopische Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Fahrzeugregisterdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Datenschutzkonzeption des Prümer Modells . . . . . . . . . . . . . . . . . . . 1. Exkurs: Datenschutzregime innerhalb der polizeilichen Zusammenarbeit . . a) Sicherheit versus Freiheit . . . . . . . . . . . . . . . . . . . . . . . . . b) Allgemeine Datenschutzregelungen . . . . . . . . . . . . . . . . . . . . aa) Richtlinie 95/46/EG . . . . . . . . . . . . . . . . . . . . . . . . . bb) Rahmenbeschluss 2008/977/JI zum Schutz personenbezogener Daten (1) Defizite des Anwendungsbereiches . . . . . . . . . . . . . . . (2) Mangelnde Einhaltung der Datenschutzgrundsätze . . . . . . . (3) Fehlende Koordination nationaler Kontrollstellen . . . . . . . (4) Schleppende Umsetzung in nationales Recht . . . . . . . . . . (5) Fehlende allgemeine Datenschutzkonzeption . . . . . . . . . . cc) Datenschutzreformpaket der Kommission . . . . . . . . . . . . . . dd) Datenschutz auf völkerrechtlicher Ebene: Konvention Nr. 108 . . . ee) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Formen des Online-Zugriffs im Prümer Modell . . . . . . . . . . . . . . . . a) Online-Zugriff mittels Hit/No-Hit-Verfahren . . . . . . . . . . . . . . . b) Online-Zugriff mit sofortigem Lesezugriff . . . . . . . . . . . . . . . . 3. Ausformung der allgemeinen Datenschutzprinzipien im Prümer Modell . . . a) Mindestdatenschutzniveau . . . . . . . . . . . . . . . . . . . . . . . . . b) Zweckbindungsgrundsatz . . . . . . . . . . . . . . . . . . . . . . . . . c) Rechtsfolgen fehlerhafter Datenübermittlungen für die Mitgliedstaaten . d) Protokollierungspflichten . . . . . . . . . . . . . . . . . . . . . . . . . e) Schadensersatz und Haftung . . . . . . . . . . . . . . . . . . . . . . . .
110 110 112 112 113 114 114 116 116 116 118 118 119 119 122 125 125 126 127 129 130 131 134 135 135 136 137 138 139 140
§ 4 Bewertung des Prümer Modells . . . . . . . . . . . . . . . . . . . . . . . . . A. Rechtliche Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Kritik an der Überführung des Prümer Vertrages in das Europarecht . . II. Besondere Datenschutzregelungen des Prümer Ratsbeschlusses . . . . . 1. Unzureichendes Mindestschutzniveau . . . . . . . . . . . . . . . . . 2. Fehlende Relevanzschwelle beim DNA-Austausch . . . . . . . . . . 3. Fehlende Überprüfbarkeit/Kontrollmöglichkeiten . . . . . . . . . . . 4. Verwertbarkeit und Grundsatz der Datenrichtigkeit . . . . . . . . . . 5. Fehlende Differenzierung nach Betroffenen . . . . . . . . . . . . . . B. Prüm in Zahlen – Tatsächliche Situation . . . . . . . . . . . . . . . . . . . . I. Umsetzungsstand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Gründe der verzögerten Umsetzung . . . . . . . . . . . . . . . . . . 2. Beschleunigungsmaßnahmen der Kommission: Helpdesk und mobile Kompetenzteams . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Zukünftig drohende Vertragsverletzungsverfahren? . . . . . . . . . . II. Erste Ergebnisse der operationellen Mitgliedstaaten . . . . . . . . . . . III. Relativierung der Statistik . . . . . . . . . . . . . . . . . . . . . . . . C. Abschließende Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
141 141 141 143 143 144 145 147 149 151 151 152
. . . . .
. . . . .
. . . . .
. . . . .
153 154 155 157 158
10
Inhaltsverzeichnis
§ 5 Zukünftige Entwicklung des Prümer Modells . . . . . . . . . . . . . . A. Prüm als Export-Modell transatlantischer Kooperation . . . . . . . . . B. Leitlinien europäischer Informations- und Datenschutzsysteme . . . . I. Leitlinien für die Entwicklung zukünftiger Informationssysteme II. Leitlinien eines zukünftigen europäischen Datenschutzsystemes C. Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
160 160 162 162 163 166
Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
171 182
Abkürzungsverzeichnis a. A. a. a. O. abgedr. abl. ABl. ABlEU Abschn. AEUV
a. F. allg. Art. AT ausdr. Az. BDSG
BGBl. BGH BGHSt BKAG BR-Drs. Brit.J.Criminol. Bspr. bspw. BT-Drs. BVerfG BVerfGE bzgl. bzw. CCC CILIP CMLR ders./dies. d. h. Dok. DRB EDSB
andere Ansicht am angegebenen Ort abgedruckt ablehnend Amtsblatt Amtsblatt der Europäischen Union Abschnitt Vertrag über die Arbeitsweise der Europäischen Union in der Fassung der Bekanntmachung vom 09. Mai 2008. Zuletzt geändert durch Artikel 2 ÄndBeschl. 2012/419/EU vom 11. Juli 2012 (ABl. Nr. L 204 S. 131) alte Fassung allgemein/allgemeiner/allgemeines/allgemeine Artikel Allgemeiner Teil ausdrücklich Aktenzeichen Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003(BGBl. I S. 66). Zuletzt geändert durch Artikel 1 G zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814) Bundesgesetzblatt der Bundesrepublik Deutschland (Teil, Seite) Bundesgerichtshof Amtliche Entscheidungssammlung des Bundesgerichtshofs in Strafsachen Bundeskriminalamtgesetz vom 7. Juli 1997. Zuletzt geändert durch Artikel 3 des Gesetzes vom 21. Juli 2012 (BGBl. I S. 1566) Drucksache(n) des Deutschen Bundesrates British Journal of Criminology: An International Review of Crime and Society (Oxford: Oxford University Press) Besprechung beispielsweise Drucksache(n) des Deutschen Bundestages Bundesverfassungsgericht Amtliche Entscheidungssammlung des Bundesverfassungsgerichts bezüglich beziehungsweise Übereinkommen über Computerkriminalität, Cybercrime Convention Bürgerrechte & Polizei/CILIP (Berlin: CILIP) Common Market Law Review (Leiden, NL: Kluwer Law International) derselbe/dieselbe das heißt Dokument Deutscher Richterbund Europäischer Datenschutzbeauftragter
12
EG EGV a. F.
ehem. EMRK entspr. Erg. ETS EU eucrim EU-DSRL EuGH EuGRZ EuR EuRhÜbk Eur.J.CrimeCr.L.Cr.J. EurJCrimPolicyRes EUV EUV a. F. EuZW EWS exempl. f./ ff. FG Fn. fortgef. FS GA GASP GG ggf. ggü. GID GRC grds. HFR h. M. HRRS Hrsg. Hs. i. d. T. i. e. S. insb. i. R.
Abkürzungsverzeichnis
Europäische Gemeinschaft Vertrag zur Gründung der Europäischen Gemeinschaft vom 25. Juni 1957 in der Fassung des Änderungsvertrages über die Europäische Union vom 26. Februar 2001 ehemalige Europäische Menschenrechtskonvention entsprechend(e) Ergebnis European Treaty Service Europäische Union eucrim. The European Criminal Law Associations’ Forum (Freiburg i.Br.: Max-Planck Society for the Advancement of Science) Europäische Datenschutzrichtlinie Europäischer Gerichtshof Europäische Grundrechts-Zeitschrift (Kehl/ u. a.: N. P. Engel Verlag) Europarecht (Baden-Baden: Nomos) Europäisches Rechtshilfe-Übereinkommen vom 20. April 1959 European Journal of Crime, Criminal Law and Criminal Justice (Leiden, NL: Brill) European Journal on Criminal Policy and Research (Dordrecht: Springer) Vertrag über die Europäische Union in der Fassung des Vertrags von Lissabon vom 13. Dezember 2007 Vertrag über die Europäische Union in der Fassung des Änderungsvertrages vom 7. Februar 1992 Europäische Zeitschrift für Wirtschaftsrecht (München: C. H. Beck) Europäisches Wirtschafts- & Steuerrecht (Heidelberg: Recht und Wirtschaft) exemplarisch folgend/fort folgende Festgabe Fußnote fortgeführt Festschrift Goltdammer‘s Archiv für Strafrecht (Heidelberg: R. v. Decker’s Verlag) Gemeinsame Außen- und Sicherheitspolitik Grundgesetz der Bundesrepublik Deutschland vom 23.Mai 1949 gegebenenfalls gegenüber Der Gen-ethische Informationsdienst (Berlin: GID) Europäische Charta der Grundrechte grundsätzlich Humboldt-Forum Recht (Berlin: Universitätsverlag) herrschende Meinung Onlinezeitschrift für Höchstrichterliche Rechtsprechung im Strafrecht (Hamburg: Strate) Herausgeber Halbsatz in der Tat im engeren/eigentlichen Sinne insbesondere im Rahmen
Abkürzungsverzeichnis
i. S. (d.) i. V. m. JA JCMS JR JURA JuS JZ krit. KritV lit. LS MDR MJ MüKo-StGB m. w. N. Nachw. NJW NJW-RR NStZ NStZ-RR NVwZ o. ä. o. g. o. J. ÖJZ OLG Org. PB
PCSC PJZS RB RBDatA
RB-E Rdn. resp. RFSR RGSt RL RLE Rs. S.
13
im Sinne (des) in Verbindung mit Juristische Ausbildung (Köln: Carl Heymanns) Journal of Common Market Studies (Oxford: Blackwell) Juristische Rundschau (Berlin: Walter De Gruyter) Juristische Ausbildung (Berlin: Walter De Gruyter) Juristische Schulung (München: C. H. Beck) Juristenzeitung (Tübingen: Mohr Siebeck) kritisch Kritische Vierteljahresschrift für Gesetzgebung und Rechtswissenschaft (Baden-Baden: Nomos) littera Leitsatz Monatsschrift für deutsches Recht (Köln: Schmidt) Maastricht Journal of European and Comparative Law (Antwerpen: Intersentia) Münchener Kommentar zum Strafgesetzbuch mit weiteren Nachweisen Nachweis Neue Juristische Wochenschrift (München: C. H. Beck) Rechtsprechungs-Report der Neuen Juristischen Wochenschrift (München: C. H. Beck) Neue Zeitschrift für Strafrecht (München: C. H. Beck) Rechtsprechungsreport der Neuen Zeitschrift für Strafrecht (München: C. H. Beck) Neue Zeitschrift für Verwaltungsrecht (München: C. H. Beck) oder ähnlich(e/es) oben genannt(en) ohne Jahr(-esangabe) Österreichische Juristen-Zeitung (Wien: Manz) Oberlandesgericht Original Beschluss 2008/615/JI des Rates vom 23. Juni 2008 zur Vertiefung der grenzüberschreitenden Zusammenarbeit, insbesondere zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität; Prümer Beschluss Preventing and Combating Serious Crime-Abkommen Polizeiliche und Justizielle Zusammenarbeit in Strafsachen Rahmenbeschluss Rahmenbeschluss über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union (RB 2006/960/JI) Rahmenbeschlussentwurf Randnummer(n) respektive Raum der Freiheit, der Sicherheit und des Rechts Amtliche Entscheidungssammlung des Reichsgerichts in Strafsachen Richtlinie Richtlinienentwurf Rechtssache Seite/Siehe
14
scil. SJZ Slg. s. o. sog. Spstr. s-TESTA StGB
stRspr. StV StVG TKG
u. a. u. ä. UAbs. umstr. usw. u. U. v. VersR vgl. Vorbem. ZaöRV z. B. ZEuP ZfAS ZFIS ZIS ZRP ZStW zust. ZVglRWiss
Abkürzungsverzeichnis
scilicet (lat.: nämlich) Schweizerische Juristenzeitung (Zürich: Schulthess) Sammlung siehe oben sogenannte(r) Spiegelstrich Secure Trans European Services for Telematics between Administrations Strafgesetzbuch der Bundesrepublik Deutschland. In der Fassung der Bekanntmachung vom 13. November 1998 (BGBl. I S. 3322). Zuletzt geändert durch Artikel 15 AIFM-Umsetzungsgesetz vom 4.7.2013 (BGBl. I S. 1981) ständige Rechtsprechung Strafverteidiger (Köln: Wolters Kluwer) Straßenverkehrsgesetz in der Fassung der Bekanntmachung vom 5. März 2003 Telekommunikationsgesetz der Bundesrepublik Deutschland. In der Fassung vom 22. Juni 2004 (BGBl. I S. 1190). Zuletzt geändert durch Artikel 1 G zur Änderung des TelekommunikationsG und zur Neuregelung der Bestandsdatenauskunft vom 20.6.2013 (BGBl. I S. 1602) unter anderem und ähnliche(s) Unterabsatz umstritten und so weiter unter Umständen vom/von Versicherungsrecht (Karlsruhe: Verlag Versicherungswirtschaft) vergleiche Vorbemerkung Zeitschrift für ausländisches öffentliches Recht und Völkerrecht (Köln: Kohlhammer) zum Beispiel Zeitschrift für Europäisches Privatrecht (München: C. H. Beck) Zeitschrift für Außen- und Sicherheitspolitik (Wiesbaden: VS Verlag) Zeitschrift für Innere Sicherheit in Deutschland und Europa (Starnberg: Verlag R. S. Schulz) Zeitschrift für Internationale Strafrechtsdogmatik (Gießen: T. Rotsch) Zeitschrift für Rechtspolitik (München: C. H. Beck) Zeitschrift für die gesamte Strafrechtswissenschaft (Berlin/New York: De Gruyter) zustimmend Zeitschrift für vergleichende Rechtswissenschaft (Frankfurt a. M.: Recht und Wirtschaft)
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen A. Grundlegung des europäischen Informationsaustausches Die fortschreitende Eröffnung und Erweiterung des europäischen Binnenraumes und die zunehmende Mobilität europäischer Bürger stellt die polizeiliche Zusammenarbeit vor neue Aufgaben. Kriminalität, ob in organisierter oder sonstiger Form, insbesondere Terrorismus, Menschenhandel, Straftaten gegenüber Kindern, illegaler Drogen- und Waffenhandel sowie Bestechungs- und Betrugsdelikte stellen für die Bürger in der gesamten Europäischen Union eine Bedrohung dar. Da Kriminalität vor Ländergrenzen oft keinen Halt macht und aus den veränderten wirtschaftlichen, sozialen und politischen Verhältnissen weitere Bedrohungen erwachsen, müssen die Organe der Union und die Mitgliedstaaten gemeinsam Maßnahmen zur Verhütung und Bekämpfung derartiger Verbrechen ergreifen, die von dauerhaftem Bestand sind.1 Ein solches Vorhaben erfordert zum einen die Kooperation der beteiligten Behörden der Mitgliedstaaten der Europäischen Union (EU) und zum anderen einen funktionierenden, zeitnahen Austausch verfügbarer polizeilich-relevanter Informationen. Infolgedessen sind Kooperation und Kommunikation im Allgemeinen seit jeher Voraussetzungen des europäischen Integrationsprozesses2 und im Besonderen im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen zur Effektivierung des Informationsaustausches zwischen den Strafverfolgungsbehörden der Mitgliedstaaten unverzichtbar. Mit Wegfall der kontrollierten Binnengrenzen des europäischen Raumes begann die zunehmende Mobilität der Bewohner der Europäischen Union. Diese neu erlangte Mobilität der EU-Bürger offenbarte den Mitgliedstaaten schnell ihre „Schattenseite“: Die Zahl der grenzüberschreitenden Straftaten stieg rasant an. Typische Probleme der grenzüberschreitenden Strafverfolgung traten schnell hervor. Entgegengesetzt zu der Mobilität der EUBürger waren die Mitgliedstaaten in ihrer Strafverfolgungskompetenz auf ihr jeweiliges Hoheitsgebiet begrenzt und konnten nur im Wege der sog. Rechts- bzw. Amtshilfe auf eine Kooperationsbereitschaft des anderen Mitgliedstaates der EU hoffen, um an die im frem1 Vgl. Pressemitteilung der Kommission vom 12. Oktober 2005 zum Vorschlag für einen Rahmenbeschluss über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit, MEMO/05/367, S. 1. 2 Hatje, Datenschutz Lissabon (2009), S. 23. Nicht zuletzt stammt die Begrifflichkeit der „Kommunikation“ vom lat. „communicare“ ab, welches von „communio“, der Gemeinschaft, abgeleitet ist. Kommunikation wird häufig als Informationsaustausch beschrieben. Ein solche Bezeichnung lässt wesentliche Aspekte des Mitteilens und der Teilhabe aus, durch das etwas als etwas Gemeinsames entsteht.
16
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
den Mitgliedstaat befindlichen Informationen zu gelangen. Kurzum: Zwar bestand eine Mobilität der Bürger – und Straftäter – der EU, jedoch keine Mobilität der sich auf selbige beziehenden Informationen. Dem neu geschaffenen Raum der Freiheit mussten daher Maßnahmen zur Verbesserung der Sicherheit entgegengesetzt werden, um die Bürger der EU vor solchen Gefahren zu schützen, die sich aus der durch den EGV gewährleisteten Freizügigkeit ergaben.3 Die Begrifflichkeit des „Raumes der Freiheit, der Sicherheit und des Rechts“ wurde fortan die prägende Formulierung für sämtliche Maßnahmen der ehemaligen Union auf dem Gebiet der europarechtlichen Strafverfolgung und trägt seitdem den Novellierungen im Bereich der Justiz- und Innenpolitik Rechnung. Bei der Konzeption des Raumes der Freiheit, der Sicherheit und des Rechts handelt es sich um ein Aufgabenfeld, das auf europäischer Ebene dramatisch an Bedeutung gewinnt. Die hierin zusammengefassten Bereiche (Grenzkontrollen, Asyl und Einwanderung; Justizkooperation in Zivilrecht und Strafrecht sowie polizeiliche Zusammenarbeit) betreffen Kernanliegen des Staatseins, die sich mit den Stichworten Justiz und Sicherheit kennzeichnen lassen.4 Schon vor in Kraft treten des Lissabonner Vertrages erfuhr dieser Dreischritt primärrechtliche Erwähnung5 und kann sich nunmehr auf eine entsprechende Kompetenzzuweisung im Primärrecht stützen6 . Der Raum der Freiheit, der Sicherheit und des Rechts umfasst im wörtlichen Sinne drei Bereiche: die Freiheit, die Sicherheit und das Recht. Hauptziel des Raumes der Freiheit ist die Gewährleistung des freien Personenverkehrs auf Basis der Bestimmungen von Schengen. Weitere Inhalte bilden die Grundrechte auf europäischer Ebene und die Bekämpfung aller Formen der Diskriminierung.7 Mit dem Raum der Sicherheit wird die Kriminalitätsbekämpfung angesprochen, insbesondere die Bekämpfung grenzüberschreitender Kriminalität wie Terrorismus, Menschenhandel, Drogen- und Waffenhandel, Korruption und Betrug. Die EU verfolgt von jeher das Ziel, den Bürgern innerhalb der EU ein hohes Maß an Sicherheit zu bieten, indem sie ein gemeinsames Vorgehen der Mitgliedstaaten im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen entwickelt. Der Raum des Rechts umfasst schließlich die justizielle Zusammenarbeit in Zivil-und Strafsachen, die allen Bürgern der EU trotz der zwischen den Mitgliedstaaten bestehenden Unterschiede gleichen Zugang zum Recht gewährleisten soll.8 Die Erhaltung und Weiterentwicklung der EU als Raum der Freiheit, der Sicherheit und des Rechts wurde bereits 1999 mit dem Amsterdamer Vertrag als verbindliches Ziel in den EU-Vertrag, genauer mit ex-Art. 2 Abs. 1, 4 Spstr. EUV, eingefügt, um „die Person
3 Diese Verknüpfung tritt insbesondere noch einmal durch den 12. Erwägungsgrund der Präambel des EUV in seiner Fassung nach dem Vertrag von Lissabon hervor. 4 Haak, EuR, Nr. 2h, 2009, S. 284. 5 Siehe nur ex-Art. 29 Abs. 1. EUV, welcher das Ziel der Gewährleistung von Sicherheit präzisiert, das bereits im elften Erwägungsgrund der Präambel und in ex-Art. 2 Abs. 1, 4. Spstr. EUV angesprochenen wird. 6 Siehe nur Art. 3 Abs. 2 EUV und Titel V des AEUV, Art. 67 ff. AEUV. 7 Vgl. Pache, EU RSFR (2005), S. 9. 8 Pache, EU RSFR (2005), S. 9.
A. Grundlegung des europäischen Informationsaustausches
17
in den Mittelpunkt des Handelns der EU“9 zu stellen. Ausdrücklich wird hierdurch die Verbesserung der Lebensbedingungen des Einzelnen auch außerhalb der wirtschaftlichen oder wirtschaftsbezogenen Lebensbedingungen angestrebt.10
I. Spezielle Ausformung im Bereich der polizeilichen Zusammenarbeit In Konkretisierung von Art. 3 Abs. 2 EUV11 , wonach die Entwicklung eines Raumes der Freiheit, der Sicherheit und des Rechts zu den politischen Zielen der Union gehört, werden durch die Regelungen der Art. 67 ff. AEUV (ex-Art. 29 EUV) die Ziele und Formen des RFSR und dessen wesentliche Handlungsfelder12 umrissen. Die Bestimmungen des Titels VI des bisherigen EUV über die polizeiliche und justizielle Zusammenarbeit in Strafsachen wurden mit Inkrafttreten des Lissabonner Vertrages durch die Bestimmungen des Dritten Teils, Titel V, Kapitel 1, 4 und 5 AEUV ersetzt. Entsprechend Art. 67 Abs. 3 AEUV (ex-Art. 29 UAbs. 2, 1. Spstr. EUV) soll durch Maßnahmen zur Koordinierung und Zusammenarbeit von Polizeibehörden, Organen der Strafrechtspflege und anderen zuständigen Behörden ein hohes Maß an Sicherheit gewährleistet werden. Diese Regelung verfolgt vor allem das Ziel, den internationalen polizeilichen Rechts- und Amtshilfeverkehr13 zwischen den Mitgliedstaaten zu erleichtern.14 Sämtliche Kooperationsmaßnahmen innerhalb des RFSR, sei es die polizeiliche oder aber auch die justizielle Zusammenarbeit in Strafsachen, sollen hierbei dem übergeordneten Ziel dienen, Kriminalität zu verhüten und zu bekämpfen15 . Eine Gegenüberstellung der Begriffe „Verhütung“ und „Bekämpfung“ lässt die Weite des Anwendungsbereiches polizeilicher Zusammenarbeit deutlich werden: Maßnahmen können sowohl präventiv-polizeilichen („Verhütung“) als auch repressiv strafverfolgenden Zwecken („Bekämpfung“) dienen.16 Durch diese Verknüpfung von Prävention und Repression werden „Prävention und [. . .] Repression konzeptionell zusammen[ge]führ[t], [um] die Präventions- und Fahndungsmaßnahmen grenzübergreifend [zu] bündeln“17 . Hierdurch wird ein integrierter Ansatz18 geschaffen, welcher gleichermaßen einen sowohl repressiv als auch präventiv wirkenden Rechtsgüterschutz auf EU-Ebene gewährleistet.19 9 So der zweite Erwägungsgrund der Präambel der Grundrechtecharta über die EU: „Sie stellt die Person in den Mittelpunkt ihres Handelns, indem sie die Unionsbürgerschaft und einen Raum der Sicherheit, der Freiheit und des Rechts begründet“. 10 Hierzu auch Pache, EU RSFR (2005), S. 10, Fn. 6 m.w.N. 11 Ex-Art. 2 Abs. 1, 4. Spstr. EUV. 12 Art. 67 UAbs. 3 AEUV; ex-Art. 29 UAbs. 2 EUV. 13 Näher zu dem Begriff siehe Mokros, in: Lisken/Denninger, HdPR (2012), Teil N, Rdn. 1 ff. 14 Suhr, in: Calliess/Ruffert, EUV/EGV (2007), Art. 29, Rdn. 35. 15 Art. 67 Abs. 3 AEUV, ex-Art. 29 UAbs. 2 EUV. 16 Lorenzmeier, ZIS 2006, S. 577; Zöller, Informationssysteme (2002), S. 426; Böse, in: Schwarze et al., EU-Kommentar (2012), Art. 29 EUV, Rdn. 5; Gärditz, Alternativentwurf Europol (2008), S. 209; Kotzur, in: Geiger/Khan/Kotzur, EUV/AEUV (2010), Art. 87 AEUV, Rdn. 3. Zu dem Streit, ob ex-Art. 29 EUV neben der internationalen auch die national begrenzte Kriminalität erfasst vgl. Lorenzmeier, ZIS 2006, S. 577 m.w.N. 17 von Bubnoff., ZEuS 2002, S. 190. 18 Gärditz, Alternativentwurf Europol (2008), S. 209. 19 Gärditz, Alternativentwurf Europol (2008), S. 209.
18
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
Artikel 67 AEUV (ex-Art. 29 EUV) beschränkt sich auf eine Aufzählung der grundsätzlichen Mittel zur Gestaltung eines Raumes der Freiheit, der Sicherheit und des Rechts. Deren konkrete Ausgestaltung wird hingegen näher durch Art. 87 AEUV (ex-Art. 29 UAbs. 2, 1. Spstr. i. V. m. ex-Art. 30 EUV) und Art. 89 AEUV (ex-Art. 32 EUV) präzisiert. Das verfügbare Spektrum der Verbesserung und Intensivierung der zwischenstaatlichen Zusammenarbeit zwischen den zuständigen Polizei-, Zoll- und Strafverfolgungsbehörden der polizeilichen Zusammenarbeit wird durch Art. 87 Abs. 2 EUV (ex-Art. 30 Abs. 1 EUV) erläutert20 und schafft eine im Primärrecht verankerte gesetzliche Grundlage für einen zwischenstaatlichen Informations- und Datenaustausch zu Strafverfolgungsund Strafverhütungszwecken. Kernregelung für den Informationsaustausch zwischen den Strafverfolgungsbehörden im Speziellen ist somit Art. 87 Abs. 2 lit. a AEUV (ex-Art. 30 Abs. 1 lit. b EUV). Demnach schließt das gemeinsame polizeiliche Vorgehen im Bereich der polizeilichen Zusammenarbeit das Einholen, Speichern, Verarbeiten, Analysieren und Austauschen sachdienlicher Informationen zur Verhütung und Aufklärung von Straftaten ein. Der Normtext beinhaltet als Hauptanknüpfungspunkt den Terminus der Information. Während diverse Sekundärrechtsakte Legaldefinitionen zum Begriff der Information enthalten, sucht man in den primärrechtlichen Verträgen nähere Präzisierungen vergeblich. Auch in der wissenschaftlichen Literatur scheint es, als wäre es vielmehr der Begriff der Daten und des Schutzes derselbigen im Rahmen des Datenschutzes, welcher innerhalb der PJZS den Ausgangspunkt jeglicher Diskussion bildet. Hieraus erwächst das Bedürfnis nach einer Definition und gegebenenfalls Abgrenzung beider Begrifflichkeiten.
II. Begrifflichkeiten des Informationsaustausches Im Rahmen der europarechtlichen Legislatur bilden die Begrifflichkeiten „Information“, „Daten“ und „Netzwerk“ stetig wiederkehrende Schlagwörter. Trotz begrifflicher Unterschiede fällt auf, dass „Information“ und „Daten“ meist synonym verwandt werden.21 Diese unzureichende Differenzierung von Information und Daten stellt jedoch keine reflektierte Regelungsentscheidung dar.22 Erschwerend tritt hinzu, dass die auf EU-Ebene verwendete Terminologie autonom zu den nationalen Begrifflichkeiten zu bestimmen ist. Lediglich auf diesem Wege lässt sich eine einheitliche Auslegung der in den Rechtsakten enthaltenen Begrifflichkeiten innerhalb des europäischen Rechtsraumes gewährleisten. Ein Rückgriff oder eine Verweisung auf die innerstaatlichen Legaldefinitionen der einzel-
20 Die Aufzählung war im ex-EUV nur beispielhaft und nicht abschließend formuliert, vgl. exArt. 30 Abs. 1 EUV: „schließt ein“. Hierzu Geiger, EUV/EGV (2004), Art. 30 EUV, Rdn. 1; JourSchröder, in: von der Groeben/Schwarze, EU/EG-Vertrag (2003), Art. 30 EUV, Rdn. 3; Satzger, in: Streinz, EUV/EGV (2003), Art. 30 EUV, Rdn. 3; Schnapauff , ZFIS 1998, S. 18; Zimmerling, in: Lenz/Borchardt, EUV/EGV (2003), Art. 30 EUV, Rdn. 4. 21 Dieses Fehlbewusstsein greift auch Heussner auf: „Dass die Unterscheidung von Daten und Informationen nicht immer ernst genommen wird, zeigt die Etablierung des Begriffs des Datenschutzes für ein Rechtsgebiet, in dem es doch primär um den Schutz von Informationen über eine natürliche Person geht.“, in: Heussner, Informationssysteme (2007), S. 12. 22 So auch Albers, Grundlagen Verwaltungsrecht (2012), S. 114, Rdn. 9.
A. Grundlegung des europäischen Informationsaustausches
19
nen Mitgliedstaaten verbieten sich daher.23 Das Unionsrecht stellt eine eigenständige, autonome Rechtsordnung dar, sodass die in den nationalen Rechtsordnungen entwickelten Grundsätze und Termini nicht uneingeschränkt übernommen werden können.24 Es ist daher zwingend erforderlich, Begriffsinhalte autonom aus dem Kontext und der Dogmatik des Unionsrechts zu entwickeln.25 1. Die Begrifflichkeit der „Information“ Auch wenn es scheint, dass ein Grundkonsens darüber besteht, was unter dem Terminus der Information zu verstehen ist, ist der Bedeutungsgehalt des Begriffes Information dennoch nur schwerlich zu erfassen und seit jeher Gegenstand wissenschaftlicher Diskussion26 . Hierbei divergieren die vertretenen Definitionen innerhalb der Fachdisziplinen und zwischen mitgliedstaatlicher und europäischer Ebene27 erheblich. Das Verständnis der Information reicht von Positivdefinitionen, dass eine Information ein „dritter Urzustand der Welt“, „eine neue Art Wirklichkeit, neben der materiellen und geistigen Wirklichkeit“, eine „strukturelle Koppelung“, „eine dritte universelle Grundgröße“ sei, über Negativdefinitionen, welche Informationen als all jenes ansehen, was nicht körperlich und nicht greifbar ist.28 Die differenziertesten Definitionsversuche unterscheiden zwischen Information als Prozess, als Subjekt, als Objekt und der Information als System. Letztendlich bezeichnet Information semantisch wohl jede Kenntnisbeziehung zu jedem realen und irrealen Gegenstand der Welt.29 Gemein ist diesen Definitionsversuchen allesamt, dass sie für die konkrete Bearbeitung wenig hilfreich sind. Dennoch bleibt die Klärung, was unter einer Information zu verstehen ist, unumgänglich, bildet diese Begrifflichkeit doch das Fundament jeglicher europäischer „Informations-“kooperation. Um den Kerngehalt der Information zu bestimmen, ist es hilfreich und unverzichtbar, einen quasi-evolutionären Blickwinkel einzunehmen. Hierbei gilt es, die jeweiligen Phasen, welche jede Information durchläuft bis sie schließlich bei ihrem Empfänger ankommt, zu unterscheiden: So durchläuft jede Information ein Trias von Syntax, Semantik und schließlich Pragmatik bzw. Form, Bedeutungsgehalt und Wirkung.30 Den jeweiligen Erscheinungsformen (Syntax) von Informationen sind keinerlei Grenzen gesetzt. Sie kann eine bloße Folge von Zahlen oder Buchstaben sein. Diese Zeichenfolgen haben für sich allein gesehen jedoch keinerlei Erklärungswert bzw. weitergehenden Nutzen. Einen solchen erhalten sie erst dann, wenn sie einen spezifischen Bedeutungsge23 Infolgedessen sind die Legaldefinitionen des deutschen BDSG nicht auf das Unionsrecht übertragbar. 24 EuGH, Rs. 26/62, Slg. 1963, 1 (25) – van Gend & Loos; EuGH, Rs. 90 u. 91/63, Slg. 1964, 1329 (1344) – Kommission v. Luxemburg u. Belgien; Frenz, Wirkungen und Rechtsschutz (2010), Rdn. 348; Nettesheim, in: Oppermann/Claasen/Nettesheim, Europarecht (2009), § 10, Rdnr. 165, 168. 25 Gärditz, Alternativentwurf Europol (2008), S. 193. 26 Nicht zuletzt erfährt der Bereich des Informationsrechts in juristischen Kreisen verstärkte Bedeutung und Interesse. Hierzu Hoeren, JuS 2002, S. 947 m.w.N. 27 So wird von der Kommission der Begriff der Information mit dem der Daten gleich gesetzt. Vgl. nur KOM (2004) 429 endg., S. 5 Fn. 2. 28 Hoeren, MMR-Beilage 1998, S. 6. 29 Hoeren, MMR-Beilage 1998, S. 6. 30 Zum sog. Kanalmodell siehe Fuchs-Kittowski, Organisationsinformatik (2001), S. 22 ff.
20
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
halt (Semantikebene) zugewiesen bekommen. So kann z. B. die Zahlenfolge „369852169“ in Abhängigkeit zu ihrem Kontext für eine Genomkombination, eine Telefonnummer, eine Kontonummer oder die Anzahl von Straftaten in einem bestimmten Zeitraum stehen. Auf eine konkret zu fordernde Erscheinungsform der Information kann es dementsprechend nicht allein ankommen. Informationen zeichnen sich somit durch ihren situativen Charakter aus. Insofern ist es die Semantikebene, welche den einzelnen Nutzer befähigt, die jeweiligen Zeichen unter Berücksichtigung eines spezifischen Kontextes zu interpretieren. Um nun jedoch diesen gewonnenen Mehrwert vollständig nutzen zu können, bedarf es einer dritten Ebene: der Pragmatik. Die jeweilige Information zielt somit auch immer auf eine vom Sender beabsichtigte Wirkung ab; sie soll eine spezifische Reaktion des Empfängers auslösen, so z. B. eine Strafverfolgung einleiten. Um auch die tatsächlich beabsichtigte Wirkung zu erzielen, ist es insofern von höchster Priorität eine möglichst genaue Spezifizierung des Syntaxes vorzunehmen; anderenfalls droht eine Fehlinterpretation des Empfängers. Denn immer dann, wenn Angaben von einem Sender an mehrere unterschiedliche Empfänger übermittelt werden, besteht das Risiko, dass sich die von den einzelnen Empfängern daraus abgeleiteten Informationen durchaus unterscheiden können.31 Aus einem solchen Verständnis wird deutlich, dass jede Information – neben einem Kommunikationsprozess zwischen Sender und Empfänger – eine über den bloßen Kommunikationsinhalt hinausgehende Wertung des relevanten Sachverhaltes durch den Empfänger voraussetzt. Die Verarbeitung dessen, was übermittelt wird, erschafft einen neuen Kontext32 , der dem Empfänger ein Plus zu dem Status quo ante verschafft. Informationen sind daher für die vorliegende Arbeit Sachverhalte, die an einen oder mehrere Empfänger gleichzeitig gerichtet sind und deren Verhalten beeinflussen.33 2. Die Begrifflichkeit der „Daten“ Fraglich ist nun jedoch, in welchem Verhältnis Informationen und Daten zueinander stehen. Zunächst könnte eine Abgrenzung auf Basis eines semantischen und ethymologischen Verständnisses vorgenommen werden. Der Begriff der Daten stammt ursprünglich von dem lateinischen Wort „datum“ – also wortwörtlich „das Gegebene“ – ab. Dementsprechend wären Daten bloße Zeichen, welche keine weiteren interpretierbaren Ziele verfolgen34 , so zum Beispiel eine Reihung von Zahlen, Buchstaben oder Symbolen. Sie sind schlicht vorhanden in der Art und Weise, wie sie ihrem Betrachter erscheinen. Ihnen ermangelt es gerade an der Syntaxebene, welche Voraussetzung von Informationen ist. Dennoch ist zu berücksichtigen, dass Daten durchaus zu Informationen werden können: Dies erfordert jedoch eine spezifische Einbindung in einen Sinnkontext bzw. die Zuweisung eines spezifischen Bedeutungsgehalts (Syntax).35 Daten können daher nur reine Informationsgrundlagen bilden, denen gegenüber Infor31
Zöller, Informationssysteme (2002), S. 7. Vgl. zum Erfordernis einer Interpretationsleistung des Empfängers Albers, Zur Neukonzeption des grundrechtlichen Datenschutzes, S. 119 f. 33 So auch Hatje, Verwaltung in der EU (2001), S. 193; Heussner, Informationssysteme (2007), S. 11. 34 So Zöller, Informationssysteme (2002), S. 7. 35 Heussner, Informationssysteme (2007), S. 12. 32
A. Grundlegung des europäischen Informationsaustausches
21
mationen die Leitkategorie bilden.36 Dies geschieht dergestalt, dass vorhandene Daten zweckgebunden an andere Behörden übermittelt werden. Allein durch ihre kontextuelle Einbindung erhalten sie Informationsqualität. Daten stellen auf Basis eines semantischen Verständnisses also Einzelangaben dar, die aber in Zusammenhang mit ihrer Verarbeitung eine über ihren eigentlichen Inhalt hinausgehende Bedeutung erhalten und somit zur Information werden. Weiterhin ermangelt es Daten im Gegensatz zu Informationen an einem pragmatischen Begriffselement. Daten allein führen mangels Syntax niemals zu Reaktionen. Sie haben schlichtweg keinerlei Wirkung.37 Eine solche Abgrenzung wirft jedoch zahlreiche Probleme auf. Die Entscheidung, ob eine Angabe für den jeweiligen Benutzer bereits einen eigenen Sinn enthält38 oder aber erst durch Einbindung in einen Kontext für den Benutzer verwertbar wird, ist eine willkürliche Festlegung, welche im wahrsten Sinne des Wortes „userabhängig“ ist. Klare Grenzziehungen werden nicht ermöglicht, sodass schließlich eine Einzelfallentscheidung unentbehrlich ist. Aus diesem Grunde ist es sinnvoll, eine Abgrenzung von Daten und Informationen nach pragmatischen Gesichtspunkten vorzunehmen. Das geltende EU-Recht rekurriert an zahlreichen Stellen auf den Terminus der „personenbezogenen Daten“. Eine Zusammenschau der Normen lässt eines jedoch deutlich hervortreten: Bestehende Legaldefinitionen begrenzen sich auf das Merkmal der Personenbezogenheit; der Datenbegriff an sich verbleibt hingegen undefiniert. Durch diesen Umstand begünstigt, haben sich zahlreiche Auslegungsmöglichkeiten des Begriffs der Daten entwickelt.39 Ausgangspunkt des Definitionsversuches kann hierbei die Begrifflichkeit des „Datenschutzes“ sein, da sich in dessen Rahmen die Problematik personenbezogener Daten stellt. Hierbei muss auf Basis einer teleologischen Reduktion der europäische Datenschutzregelungen überlegt werden, was denn nun die Kernbedingung von den zu schützenden „Daten“ ist. Zweck sämtlicher Datenschutzregelungen ist es, den Bürger in seiner Privatsphäre vor Eingriffen durch die moderne Datenverarbeitung zu schützen. Eine Gefährdungslage beginnt für den Betroffenen in dem Zeitpunkt, in welchem Angaben zu seiner Person für eine Behörde verfügbar, sprich abrufbar sind. Auch im Rahmen neuester technischer Speichermöglichkeiten, z. B. virtuelle Festplatten (Storage Clouds), werden Daten auf einem tatsächlichen Server gelagert. Insofern ist es sinnvoll eine Fixierung auf einem Datenträger zu fordern.40 Dementsprechend wird der Begriff der Daten im Rahmen dieser Arbeit folglich synonym für all jene digitalisierten Zeichen verwen36
In diesem Sinne Albers, Grundlagen Verwaltungsrecht (2012), S. 115, Rdn. 11. Fuchs-Kittowski, Organisationsinformatik (2001), S. 18. 38 Dann wäre die Angabe selbst bereits als Information zu verstehen. 39 Hierbei kann eine Begriffsbestimmung aus einem strafrechtlichen, einem technischen und einem datenschutzrechtlichen Blickwinkel erfolgen. Zum vertretenen Meinungsbild ausführlich Scheffler, in: Kilian/Heusen, Computer-RechtsHdB (2012), Besonderer Teil des Strafgesetzbuches, § 202 StGB, Rdn. 7 ff. 40 So auch Zöller, Informationssysteme (2002), S. 8. Ein solcher Ansatz kann zudem auch auf das Übereinkommen über Computerkriminalität v. 23. November 2001 SEV 185, BGBl. 2008 II, S. 1242 (CCC) rekurieren. Hierin wird eine gesetzliche Definition des Datenbegriffs angestrengt. In Art. 1 lit. b CCC findet sich – neben Definitionen für die Begriffe „Computersystem“, „Diensteanbieter“ und „Verbindungsdaten“ – auch eine Begriffsbestimmung der „Computerdaten“. Als solche gelten alle „Darstellungen von Tatsachen, Informationen oder Begriffen in einer zur Verarbeitung in einem Computer geeigneten Form einschließlich eines Programmes, das geeignet ist, ein Computersystem zur Ausführung einer Funktion zu veranlassen“. 37
22
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
det41 , die in codierter Form von einer Datenverarbeitungsanlage verarbeitet, gespeichert oder übermittelt werden können.42 3. Die Begrifflichkeit des „Netzwerks“ Der Begriff des Netzwerks entfaltet gerade in Bezug auf die Informationskooperation hohe Relevanz. Netzwerke zeichnen sich durch eine Zusammenarbeit mehrerer Akteure aus, welche innerhalb ein und derselben Informationsstruktur eigenständig, aber den jeweiligen Regeln der Struktur verpflichtet, tätig werden. Als Netzwerk sollen im Folgenden Strukturen bezeichnet werden, die auf einer mehrdimensionalen Verbindung von Stellen beruhen, welche wiederum von einer oder auch mehreren zentralen Instanzen koordiniert werden.43 a) Kooperation als Maxime Kooperation und Kommunikation stellen Kernbegriffe des Informationsaustausches zwischen den Mitgliedstaaten der EU dar, ohne deren Nutzung eine Ausschöpfung des vorhandenen Potenzials nicht möglich ist. Dies gilt umso mehr, wenn es um den Austausch strafverfolgungsrelevanter Informationen geht. Die Europäische Union versammelt unter ihrem Dach nunmehr 27 Staaten, deren Verwaltungsapparate und Verwaltungsstrukturen das Ergebnis langjähriger, auf den nationalen Kontext begrenzter Entwicklung sind.44 Diese polyzentrische Verfasstheit der EU bedingt, dass die EU im Gegensatz zu einem Nationalstaat durch eine weitaus stärker dialogisch ausgerichtete Herrschaftsordnung geprägt ist.45 Die Verwaltung des Unionsraumes vollzieht sich in einem Informations-, Entscheidungs- und Kontrollverbund zwischen mitgliedstaatlichen und unionseigenen Exekutiven.46 Das bestehende Gefüge zwischen unionsrechtlichen und nationalen Stellen, die das Unionsrecht und das von ihm harmonisierte mitgliedstaatliche Recht funktionell geeint vollziehen47 , ist unter dem Topos des europäischen Verwaltungsverbundes bekannt. Diese Zweiteilung der Verwaltung in mitgliedstaatliche und unionsrechtliche Verwaltung beruht auf der Vorstellung zweier unabhängig agierender Verwaltungsebenen und ist eher als Konzeption zu erkennen denn als tatsächlicher Ist-Zustand. Tatsächlich bestehen zwischen beiden Ebenen in materieller, personeller, prozeduraler und organisatorischer Hinsicht zahlreiche Verschränkungen, sodass das Paradigma der Trennung durch das Paradigma der Kooperation zu ersetzen ist.48 Der Wirkungskreis des Informationsverbundes umfasst die Beschaffung von Informationen, ihre Distribution in einem kaum überblickbaren Geflecht von Informationsbeziehungen und 41
So auch Zöller, Informationssysteme (2002), S. 8. Vgl. auch Schwarzenegger, FS Trechsel (2002), S. 313. 43 So auch Heussner, Informationssysteme (2007), S. 13. Ähnlich Fischer-Appelt, Agenturen (1999), S. 55. Zum Netzwerkbegriff allgemein Kilian/Wind, VerwArch (88) 1997, S. 499. 44 Heussner, Informationssysteme (2007), S. 7. 45 Heussner, Informationssysteme (2007), S. 9. 46 Hierzu Ruffert, DÖV 2007, S. 761 ff. 47 Schmidt-Aßmann, Europäischer Verwaltungsverbund (2005), S. 1 ff. 48 So ausdrücklich Heussner, Informationssysteme (2007), S. 8. Weitere Ausführungen zum Kooperationsprinzip bei Schwarze, Europäisches Verwaltungsrecht – Entstehung und Entwicklung im Rahmen der Europäischen Gemeinschaft, S. CII ff. 42
A. Grundlegung des europäischen Informationsaustausches
23
die außenwirksame Verwertung der Information in Gestalt administrativer Entscheidungen.49 Das europäische Primärrecht kennt eine Reihe von Informationspflichten, welche allesamt auf unterschiedlichsten Rechtsgrundlagen basieren. Die geltenden Rechtsgrundlagen für den Informationsaustausch zwischen den Mitgliedstaaten lassen sich jedoch insoweit systematisieren, als dass sie sich zum einen aus allgemeinen Verpflichtungen der Mitgliedstaaten im Rahmen des EUV ergeben und zum anderen aus bereichsspezifischen Gesetzgebungsermächtigungen50 der polizeilichen Zusammenarbeit. Die EU bildet ein föderales Gemeinwesen, welches nicht die Qualität eines Bundesstaates besitzt. Sie ist daher gerade auf ein Grundmaß an Kooperation der einzelnen Mitgliedstaaten angewiesen, um die Zielstellung des Raumes der Freiheit, der Sicherheit und des Rechts zu erreichen. Insofern verwundert es nicht, dass der Europäische Gerichtshof in Analogie zum Prinzip der Bundestreue51 den Grundsatz der loyalen Zusammenarbeit entwickelt hat.52 Die Judikatur des EuGH stützt sich im Wesentlichen auf Art. 4 Abs. 3 EUV 53 und beinhaltet die Verpflichtung der Mitgliedstaaten und der Europäischen Union, bei der Verwirklichung der Vertragsziele zu kooperieren.54 Grundsätzlich wird diese Pflicht auf der Grundlage von Art. 3 EUV mutatis mutandis auf sämtliche Aktivitäten der Union ausgedehnt werden.55 Im Bereich der Informationskoordination dient er vor allem dazu, bestehende Informationspflichten im Hinblick auf bestimmte Qualitätserfordernisse, hinsichtlich des Inhalts, der Vollständigkeit oder der zeitlichen Bearbeitungsdauer zu konkretisieren.56 b) Horizontale und vertikale Kooperation Grundsätzlich lassen sich zwei Arten von Kooperationsformen unterscheiden: die horizontale und die vertikale Kooperation. Die horizontale Kooperation umschreibt den Informationsaustausch zwischen den mitgliedstaatlichen Behörden. Hier wird der Nationalstaat nicht gegenüber den Institutionen der Union „nach oben“ hin, sondern „zur Seite“, zu anderen Mitgliedstaaten hin, informationell durchlässig.57 Das Verhältnis der beteiligten Behörden ist durch deren Gleichrangig- und Gleichwertigkeit gekennzeichnet. Der horizontale Informationsaus49
Hatje, Datenschutz Lissabon (2009), S. 23. Art. 87 Abs. 2 lit. a AEUV; ex-Art. 30 Abs. 1 lit. b EUV. 51 Siehe dazu bereits Lück, Gemeinschaftstreue (1992), S. 130f. Zu den Funktionen der Bundestreue Bogdandy, in: Grabitz/Hilf/Nettesheim, Recht der EU (2009), Art. 10, Rdn. 1 ff.; grundlegend Bauer, Bundestreue (1992), S. 9 ff. 52 Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle, Grundlagen des Verwaltungsrechts, S. 351, Rdn. 8. 53 Ehemals Art. 10 EGV. 54 Hatje, Datenschutz Lissabon (2009), S. 30. 55 Ausdr. in EuGH, Rs. C-105/03 (Pupino), Slg. 2005, I-5285, Rdn. 41 ff.; Bogdandy, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle, Grundlagen des Verwaltungsrechts, S. 351, Rdn. 8; Everling, in: Everling, Konsolidierung (1998), S. 192 f.; Kahl, in: Calliess/Ruffert, EUV/EGV (2007), Art. 10 EGV, Rdn. 7 m.w.N. 56 Siehe EuGH, Rs. 42/82, Kommission vs. Frankreich, Slg. 1983, S. 1013, Rdn. 36; Rs. 248/83, Slg. 1985, S. 1459. 57 Bogdandy, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle, Grundlagen des Verwaltungsrechts, § 25, Rdn. 62. 50
24
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
tausch stellt eine Weiterentwicklung der behördlichen Zusammenarbeit von Staaten aufgrund völkerrechtlicher Verpflichtungen dar.58 Bedingt durch die schiere Anzahl der Informationsverbindungen zwischen einzelmitgliedstaatlichen Behörden auf sämtlichen Ebenen wurde dem horizontalen Informationsaustausch eine herausragende Rolle für die Vertiefung der europäischen Integration zuteil.59 Er ist örtlich kaum mehr zu fassen.60 Aufgrund der Überführung von Kooperationsvereinbarungen, wie etwa des SchengenBesitzstandes in das Unionsrecht61 und der damit einhergehenden gestiegenen Bedeutung von Unionsorganen innerhalb dieser Informationsbeziehungen lässt sich in einigen Bereichen des horizontalen Kooperationsverbundes eine Tendenz zu seiner vertikalen, respektive unionalen Durchdringung ausmachen.62 Arbeiten hingegen Verwaltungsträger unterschiedlicher institutioneller Ebenen i.S.v. über- bzw. nachgeordneten Trägern zusammen, liegt eine Form der vertikalen Kooperation vor. Die vertikale Informationskooperation umfasst die Beziehungen der Organe der Union – vor allem der Kommission – zu den Behörden der Mitgliedstaaten. Hier kann grob zwischen der Kooperation bei der Rechtsentwicklung und einer solchen der Rechtsanwendung unterschieden werden.63
III. Europarechtliche Rahmenbedingungen des Informationsaustausches im Rahmen der polizeilichen und justiziellen Zusammenarbeit Mit dem Inkrafttreten des Lissabonner Vertrages gingen zahlreiche Neuerungen innerhalb des materiellen Europarechts einher. Neben einer vollständigen Neuordnung der Kompetenzensystematik der Verträge erfuhren insbesondere die Individualrechte der Unionsbürger eine bisher in dieser Form noch nicht existente, gesonderte Stärkung. Um die Grenzen des polizeilichen Informationsaustausches auf EU-Ebene aufzuzeigen, welche im Rahmen von Gesetzgebungsvorhaben zur Effektivierung des Informationsaustausches nunmehr zu beachten sind, ist es daher zunächst zwingend notwendig, einen näheren Blick auf die kompetenzzuweisenden Normen des Primärrechts zu werfen.
58
Hatje, Datenschutz Lissabon (2009), S. 32. Bogdandy, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle, Grundlagen des Verwaltungsrechts, § 25, Rdn. 62. 60 Hatje, Datenschutz Lissabon (2009), S. 32. Bogdandy, in: Hoffmann-Riem/Schmidt-Aßmann/ Voßkuhle, Grundlagen des Verwaltungsrechts, § 25, Rdn. 62. 61 Vgl. nur der Beschluß des Rates 1999/436/EG zur Festlegung der Rechtsgrundlagen für die einzelnen Bestimmungen und Beschlüsse, die den Schengen-Besitzstand bilden, nach Maßgabe der einschlägigen Bestimmungen des Vertrags zur Gründung der Europäischen Gemeinschaft und des Vertrags über die Europäische Union v. 20. Mai 1999, ABl. Nr. L 176 vom 10.7.1999, S. 17. 62 Hatje, Datenschutz Lissabon (2009), S. 32; Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle, Grundlagen des Verwaltungsrechts, S. 383, Rdn. 64. 63 Hatje, Datenschutz Lissabon (2009), S. 32; Bogdandy, in: Hoffmann-Riem/Schmidt-Aßmann/ Voßkuhle, Grundlagen des Verwaltungsrechts, § 25, Rdn. 34. 59
A. Grundlegung des europäischen Informationsaustausches
25
1. Primärrechtliche Kompetenzen zur Datenerhebung und -verwertung a) Gesetzgebungskompetenzen vor Lissabon Vor Inkrafttreten des Lissabonner Vertrages stellte die Europäische Union einen organisatorischen Überbau dar, unter deren Dach die drei existierenden Säulen der EU als Fundament dienten.64 Die erste Säule bildeten hierbei die Europäischen Gemeinschaften (EG), während in der zweiten Säule die Zusammenarbeit der Gemeinsamen Außenund Sicherheitspolitik (GASP) und in einer dritten Säule schließlich die Polizeiliche und Justizielle Zusammenarbeit in Strafsachen (PJZS) erfasst wurde. Die PJZS war Teil des Unionsrechts, also einer verselbständigten Rechtsordnung, die auf völkerrechtlichen Verträgen beruhte. Die Vorschriften der ex-Art. 29 ff. EUV bildeten für die Mitgliedstaaten voll bindendes Recht, auch wenn die resultierenden Pflichten nicht in gleichem Maße wie Gemeinschaftsrecht durchgesetzt werden können. Der wesentliche Unterschied der ehemals ersten Säule gegenüber der ehemals dritten Säule war in dem Umstand zu sehen, dass die Mitgliedstaaten innerhalb der Europäischen Gemeinschaft vollständig ihre Hoheitsrechte65 auf die EG übertragen hatten und letztere insofern unabhängig vom Willen der Mitgliedstaaten agieren konnte.66 Folglich besaß die EG eine eigene Rechtspersönlichkeit mit eigenen organisatorischen Unterbau. Die in den ihr zugedachten Politikfeldern bestehende Autonomie der EG, der Vorrang der innerhalb des EG-Rahmens geschaffenen Rechtsakte vor dem mitgliedstaatlichen Recht67 sowie die Möglichkeit der Gemeinschaft, auch unmittelbar innerhalb der Mitgliedstaaten geltendes Recht zu schaffen, wurden zusammenfassend mit dem Attribut der Supranationalität der Gemeinschaft bzw. des Gemeinschaftsrechts umschrieben.68 Im Gegensatz hierzu war die Situation der ehemals dritten Säule von einem wesentlichen Faktor geprägt: Hier waren die Mitgliedstaaten nicht bereit, die Regelungsbereiche der Zusammenarbeit Justiz und Inneres in das supranationale Gemeinschaftsrecht zu in-
64 Zum „Säulen- oder Tempelmodell“ der Europäischen Union vgl. Ambos/Rackow, Jura 2006, S. 505; Ruffert, in: Calliess/Ruffert, EUV/EGV (2007), Art. 1 EUV, Rdn. 4, Fn. 10; Di Fabio, DÖV 1997, S. 89 ff., S. 90; Hecker, EuStR (2007), § 4 Rdn. 106 ff., Fn. 11; Pechstein/Koenig, Die Europäische Union, Rdn. 99 ff.; Satzger, Internationales und Europäisches Strafrecht, S. 19, Fn. 36. Zur geschichtlichen Entwicklung Satzger, Internationales und Europäisches Strafrecht, S. 15 ff., Fn. 36. 65 Es handelt sich dabei nicht um die bloße Delegation eigener Hoheitsrechte der Mitgliedstaaten an die Gemeinschaft, die diese dann gleichsam stellvertretend wahrnimmt, sondern die Gemeinschaft ist durch die von den Mitgliedstaaten eingeräumten Kompetenzen Träger einer neuen, eigenständigen Hoheitsgewalt geworden, vgl. Satzger, Internationales und Europäisches Strafrecht, S. 36, Fn. 36. 66 Vgl. Zöller, ZIS 2009, S. 341; Weißer, ZIS 2006, S. 565. Ebenso ausdrücklich in EuGH, Rs. 26/62, Slg. 1963, S. 1 (24) – Van Gend und Loos; EuGH, Rs 6/64 Slg. 1964, S. 1253 (1270) – Costa vs. E.N.E.L.; vgl. auch Art. 23 Abs. 1, 24 Abs. 1 GG; Böse, GA 2006, S. 212; Röben, in: Grabitz/Hilf/Nettesheim, Recht der EU (2009), Art. 29 EUV, Rdn. 5; Herdegen, Europarecht (2008), S. 5. 67 Satzger, Internationales und Europäisches Strafrecht, S. 43 ff., Fn. 36; Streinz, Europarecht, § 3 Rdn. 201 ff. 68 Weißer, ZIS 2006, S. 566.
26
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
tegrieren.69 Mit dem Ziel einzelstaatliche Souveränität70 sowie nationale Wertvorstellungen zu wahren und dem durch kulturelle Errungenschaften geprägten Bereich des Strafrechts gerecht zu werden, hatten die Mitgliedstaaten bewusst auf eine Übertragung von Hoheitsrechten verzichtet. Gerade die PJZS wurde als besonders bedeutsam für die nationalstaatliche Souveränität erachtet.71 Die Zusammenarbeit im Rahmen der dritten Säule vollzog sich vielmehr auf zwischenstaatlicher Basis, indem die EU-Staaten nach wie vor selbst handelten, und zwar im Wege der sog. „intergouvernementalen Zusammenarbeit“.72 Während das EG-Recht der ersten Säule nicht zuletzt durch das Handlungsmittel der Verordnung gegenüber den Mitgliedstaaten supranationale Durchschlagskraft entfaltete73 , behielten sich die Mitgliedstaaten die vollständige Übertragung ihrer Hoheitsrechte74 für die im EUV geregelten Politiken der PJZS vor. Anders als im Bereich des EGV fehlte es angesichts des intergouvernementalen Charakters der Entscheidungsfindung der dritten Säule an einer hierarchischen Über- oder Unterordnung zweier abgrenzbarer Kompetenzebenen, namentlich der Kompetenzebene der Union und derjenigen der Mitgliedstaaten.75 Die Nutzung des durch den EUV geregelten Verfahrens bildete vielmehr eine Kooperationsplattform der beteiligten Mitgliedstaaten in einem Feld der klassischen staatlichen Souveränitätsausübung76 . Die Union im Sinne des EUV a. F. besaß als völkerrechtlicher Bund nicht den Status eines staatsähnlichen Verbands77 und wurde infolgedessen gemeinhin durch den Terminus des Staatenverbundes78 umschrieben.79 Insofern muss die frühere Union als Forum zur Bündelung der Willensbildung und Willensbetätigung der Mitgliedstaaten gesehen werden, welche zugleich ein Dach für die rechtsfähigen Europäischen Gemeinschaften war.80 Entsprechend einem solchen Verständnis wurden die Handlungen
69 Vgl. Weißer, ZIS 2006, S. 566, Fn. 62. Ein entsprechender Vorschlag der damaligen niederländischen Präsidentschaft stieß auf brüske Zurückweisung durch die Mitgliedstaaten, vgl. die Schilderung bei De Lobkowicz, in: Müller-Graff, Europäische Zusammenarbeit (1996), S. 45; Everling, in: Everling, Liber Amicorum Oppermann (2001), S. 168. 70 Hellmann, Vertrag von Lissabon (2009), S. 2. 71 Akmann, JA 1994, S. 52 f.; Weißer, ZIS 2006, S. 566 m.w.N.; Ambos, JuS, Nr. mm, 2001, S. 11; Argyropoulos, KritV 1999, S. 205, Kaiafa-Gbandi, KritV 1999, S. 169; Fromm, ZIS 2008, S. 168. 72 Zöller, ZIS 2009, S. 341; Valerius, in: von Heintschel-Heinegg, Beck OK StGB, Lexikon des Strafrechts, Europäisches Strafrecht, Rdn. 12. 73 Haratsch/Koenig/Pechstein, Europarecht, Rdnr. 13 ff. 74 Im engeren Sinne kann von einem „Kompetenzvorbehalt“ gesprochen werden. 75 Baumeister, Alternativentwurf Europol (2008), S. 164 f.; Pechstein/Koenig, Die Europäische Union, S. 2, Rdnr. 2; Blanke, in: Calliess/Ruffert, EUV/EGV (2007), Art. 2 EUV, Rdnr. 21. 76 Di Fabio, DÖV 1997, S. 90. 77 Vgl. hierzu Pechstein/Koenig, Die Europäische Union, Rdnr. 478. 78 Prägung des Begriffes zunächst durch den ehemaligen Bundesverfassungsrichter Kirchhof, vgl. Kirchhof , HdBStR (1992), § 183, Rdnr. 38, 50 ff, 68 f. Später wurde dieser Terminus vom Bundesverfassungsgericht übernommen, vgl. nur BVerfGE 89, 155 vom 12. Oktober 1993, fortgesetzt in BVerfGE 123, 267 vom 30.6.2009, Abs-Nr. 229. 79 Der Begriff des Staatenverbundes erfasst eine enge, auf Dauer angelegte Verbindung souverän bleibender Staaten, die auf vertraglicher Grundlage öffentliche Gewalt ausübt, deren Grundordnung jedoch allein der Verfügung der Mitgliedstaaten unterliegt und in der die Völker – d. h. die staatsangehörigen Bürger – der Mitgliedstaaten die Subjekte demokratischer Legitimation bleiben. Vgl. Lissabon-Urteil des BVerfG, 2 BvE 2/08 vom 30.6.2009, Abs-Nr. 229. 80 Hecker, EuStR (2007), S. 157; Herdegen, Europarecht (2008), Rdn. 83; Pechstein/Koenig, Die Europäische Union, Rdn. 92 f.
A. Grundlegung des europäischen Informationsaustausches
27
im Bereich der GASP und PJZS den Mitgliedstaaten und nicht der EU zugerechnet81 , da diese weder Völker- noch Privatrechtsfähigkeit besaß.82 Die Trennung der ersten von der dritten Säule wurde weiterhin durch die getrennte Normierung der Zusammensetzung der handelnden Organe im EUV a. F. und im EGV a. F. betont. Die Union konnte daher nach h.M. nicht als einheitlich handelnde Rechtsperson im Sinne eines selbständigen Völkerrechtssubjekts qualifiziert werden.83 Nach alter Rechtslage schied die EU somit als Trägerin einer supranationalen Gesetzgebungskompetenz aus.84 Gerade weil der EU keine Kompetenzen der Mitgliedstaaten im Rahmen der PJZS übertragen wurden, muss konstatiert werden, dass sich die wesentliche Aufgabe der EU im Bereich der PJZS darin erschöpfte, eine Plattform zu schaffen, durch welche die zwischenstaatliche Zusammenarbeit verbessert werden kann. Kurz: Der EU kam in Bezug auf die polizeiliche und justizielle Zusammenarbeit in Strafsachen nach alter Rechtslage weder eine Harmonisierungs- noch eine Gesetzgebungskompetenz gegenüber den Mitgliedstaaten zu.85 b) Gesetzgebungskompetenzen nach Lissabon (Art. 87 Abs. 2 AEUV) Der Mangel an Kooperation der Mitgliedsstaaten wurde durch die Reformer des EUVertrages schnell erkannt: Die bestehende intergouvernementale Ausgestaltung86 der ehemaligen dritten Säule sollte in eine integrative Konzeption gewandelt werden, welche auf der Pflicht der Zusammenarbeit zwischen den Mitgliedstaaten fußt. Diese Reform der europäischen Justiz- und Innenpolitik gehörte bereits zu den Großvorhaben des Verfassungsvertrags87 , dessen Ergebnisse auf dem Gebiet praktisch identisch in den Vertrag von Lissabon überführt wurden.88 Durch den Vertrag von Lissabon verschmelzen indessen Europäische Union und die frühere Europäische Gemeinschaft zu einer neuen Europäischen Union, welche eine eigene Rechtspersönlichkeit bekommt (Art. 47 EUV).89 Durch die mit dem Lissabonner Vertrag einhergehende Auflösung der Dreisäulenstruktur der EU90 wurde die ehemalige sog. dritte Säule mit dem Titel IV des EGV über „Visa, Asyl, Einwanderung und andere Politiken betreffend den freien Personenverkehr91 verschmolzen. Nunmehr ist der „Raum der Freiheit, der Sicherheit und des Rechts“ mit der gesamten Justiz- und Innenpolitik in den Art. 2 Abs. 2 EUV und Art. 67 bis 89 AEUV zu81 So auch Ambos, Internationales Strafrecht (2008), S. 407; Böse, in: Schwarze et al., EUKommentar (2012), Art. 29 EUV, Rdn. 2; Conway, Eur.J.CrimeCrL.Cr.J. (13), Nr. 2, 2005, S. 270 f. 82 Schweitzer/Hummer/Obwexer, Europarecht (2007), Rdnr. 950. Ausführlich auch Pechstein/ Koenig, Die Europäische Union, Rdnr. 101. 83 So auch Pechstein/Koenig, Die Europäische Union, S. 89, Rdn. 162. 84 Hecker, EuStR (2007), S. 158. 85 Satzger, Internationales und Europäisches Strafrecht, S. 93, Rdn. 32. 86 Satzger, in: Streinz, EUV/EGV (2003), Art. 29 EUV, Rdn. 17; Röben, in: Grabitz/Hilf/ Nettesheim, Recht der EU (2009), Art. 29, Rdn. 4. 87 Ruffert, EU RSFR (2005), S. 23; Fischer, Der Europäische Verfassungsvertrag: Texte und Kommentar, S. 372; Kainer, Konstitutionalisierung EU (2005), S. 299. 88 Streinz et al., Vertrag von Lissabon, S. 133. 89 Mansdörfer, HRRS 2010, S. 11. 90 Sehr bildhaft hierzu Mansdörfer, HRRS 2010, S. 11: „Aus dem europäischen Tempel wird ein veritables Haus mit dem Namen Europäische Union“. 91 Art. 61 bis 69 EGV.
28
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
sammengefasst.92 In der Konsequenz verblasst die bisherige intergouvernementale Struktur ein wenig zugunsten der Gemeinschaftsmethode93 und die neuen Verträge erhalten nun insgesamt einen eher auf supranationale Zusammenarbeit gerichteten Charakter. Zwar wurde insbesondere bezüglich der polizeilichen Zusammenarbeit die Ausgliederung in den intergouvernementalen Bereich aufgegeben, dennoch kann nicht von einer vollständigen Aufgabe der bisherigen Entscheidungsstrukturen gesprochen werden94 , da die Mitgliedstaaten nur einen bestimmten Teil ihrer Hoheitsrechte auf die Gemeinschaft und deren Organe übertragen haben.95 So ist zu beachten, dass die Rechtsakte, die im Bereich der PJZS vor Inkrafttreten des Vertrags von Lissabon auf der Grundlage der alten Art. 29 ff. EUV angenommen wurden so lange Rechtswirkung behalten, bis sie nach neuem Recht aufgehoben, für nichtig erklärt oder geändert werden.96 Folglich behalten alte Rechtsakte auch im Falle, dass sie die Voraussetzungen des neuen Vertragsrechts nicht erfüllen und somit europarechtswidrig sind, ihre Bindungswirkung. Ebenso bleiben die gerichtlichen Kontrollmöglichkeiten des EuGH bezüglich all jener Rechtsakte der ehemals dritten Säule, welche vor dem Inkrafttreten des Lissabonner Vertrages verabschiedet wurden, begrenzt. Die Einschränkung der gerichtlichen Kontrollmöglichkeiten des Gerichtshofs im Raum der Freiheit, der Sicherheit und des Rechts, die in ex-Art. 35 Abs. 1 bis 4 EUV enthalten war, bleibt für bereits existierende Rechtsakte aus dem Bereich der PJZS für weitere fünf Jahre nach Inkrafttreten des Lissabonner Vertrages bestehen.97 Zusammengefasst lässt sich sagen, dass für den im AEUV neu geschaffenen Raum der Sicherheit, der Freiheit und des Rechts – als Nachfolger der ehemaligen PJZS – nach wie vor besondere Regelungen gelten, welche die Innovationen der neuen Verträge erheblich abschwächen. Durch die Auflösung der Tempelstruktur der EU sowie durch die mit dem Lissabonner Vertrag eingeführten neuen Kompetenzregelungen erübrigt sich eine Vielzahl zuvor bestehender Kompetenzverteilungsprobleme zwischen ehemals erster und dritter Säule. Die Reformation der Gesetzgebungskompetenzen, ihre Ausweitung und ihre Einschränkung waren ein Dauerthema des Reformprozesses.98 Durch Inkrafttreten des Lissabonner Vertrages wurde erstmalig eine ausdrückliche Auflistung und Unterscheidung bestehender Kompetenzkategorien der EU vorgenommen.99 Der neue AEUV sieht nunmehr einen 92
Streinz et al., Vertrag von Lissabon, S. 133. So auch Streinz et al., Vertrag von Lissabon, S. 134. 94 So auch Hellmann, Vertrag von Lissabon (2009), S. 3. Kietz/Parkes, in: Lieb/Maurer, Der Vertrag von Lissabon. Kurzkommentar, S. 80 spricht von parallelen Tendenzen der Supranationalisierung und Intergouvernementalisierung. Näher zu den jeweilig supranationalen und intergouvernementalen Elementen des AEUV Kietz/Parkes, in: Lieb/Maurer, Der Vertrag von Lissabon. Kurzkommentar, S. 80 f. 95 Hellmann, Vertrag von Lissabon (2009), S. 2. 96 Art. 9 Protokoll über die Übergangsbestimmungen vom 13. Dezember 2007, ABlEU 2007 Nr. C 306/157. 97 Art. 10 des Protokolls Nr. 36 über die Übergangsbestimmungen vom 13. Dezember 2007, ABlEU. 2007 Nr. C 83/325. Hiervon ausgenommen sind Rechtsakte, welche während dieses Übergangszeitraums geändert worden sind. 98 Mayer, JuS 2010, S. 192; vgl. auch zur Kompetenzordnung nach Lissabon: Bauer, in: Lieb/ Maurer, Der Vertrag von Lissabon. Kurzkommentar, S. 12; Mayer, ZaöRV (61) 2001, S. 577. 99 Zuvor war eine ausdrückliche Unterteilung nur im Rahmen des EGV a. F. für die Europäischen Gemeinschaften zu finden. An dieser Stelle sei angemerkt, dass die Regelungen des AEUV nunmehr systematisch den Kompetenzverteilungsvorschriften des deutschen Grundgesetzes angenähert sind. 93
A. Grundlegung des europäischen Informationsaustausches
29
Kompetenzkatalog vor, in welchem die Kompetenzbegründung anhand einer Zuweisung bestimmter Politikbereiche der EU erfolgt. Hierbei wird zwischen ausschließlichen (Art. 3 AEUV), geteilten (Art. 4 AEUV) und sich ergänzenden Kompetenzen (Art. 6 AEUV) unterschieden. Gemäß Art. 4 Abs. 2 lit. j AEUV unterfällt der Bereich der Strafrechtspflege als Kerninhalt des Raumes der Freiheit, der Sicherheit und des Rechts der geteilten Zuständigkeitskategorie100 . Übertragen die Verträge für einen bestimmten Politikbereich der Union und den Mitgliedstaaten geteilte Zuständigkeiten, so kann die Union neben den Mitgliedstaaten gesetzgeberisch tätig werden und verbindliche Rechtsakte erlassen (Art. 2 Abs. 2 AEUV). Innerhalb der geteilten Kompetenzbereiche ist ein Tätigwerden der EU – dem Subsidiaritätsgedanken entsprechend – neben dem Tätigwerden der Mitgliedstaaten grundsätzlich möglich, kann jedoch nur dann erfolgen, wenn es zur Bildung eines Raumes der Freiheit, der Sicherheit und des Rechts erforderlich ist. Mitgliedstaatliche Regelungen sind hingegen nur solange möglich, wie die Union von ihrer Kompetenz noch keinen Gebrauch gemacht hat. Übt die Union hingegen ihre Zuständigkeit aus, so entsteht eine Sperrwirkung für mitgliedstaatliche Maßnahmen (Art. 2 AEUV), welche sich jedoch nur auf die durch den betreffenden Rechtsakt der Union geregelten Elemente erstreckt und nicht auf den gesamten Politikbereich.101 Durch die Ausformung des RFSR als geteilte Kompetenz wird erstmalig der bis dato bestehende Gedanke, dass das Strafrecht den Kern staatlicher Souveränität bilde, teilweise aufgegeben. Eine Intervention der EU in den mitgliedstaatlichen Kompetenzraum der Strafrechtspflege ist nunmehr möglich. Während für einen Großteil der Bereiche der ehemaligen PJZS neue Kompetenztitel für einzelne Politikbereiche geschaffen wurden102 , bleiben die thematischen Neuerungen bei der polizeilichen Zusammenarbeit gering; die Union erfährt keine Zuständigkeitserweiterung.103 Die polizeiliche Zusammenarbeit im Bereich der Informationssammlung und des Informationsaustausches wird durch Art. 87 Abs. 2 lit. a AEUV geregelt. Danach gehört zum gemeinsamen polizeilichen Vorgehen der Mitgliedstaaten das Einholen, Speichern, Verarbeiten, Analysieren und Austauschen sachdienlicher Informationen zur Verhütung und Aufklärung von Straftaten. Aus der Natur der Sache heraus gestaltet sich das Vorgehen zweischrittig: Zunächst müssen relevante Informationen eingeholt, gespeichert, verarbeitet und analysiert werden (Datensammlung). Erst danach schließt sich ein möglicher Austausch sachdienlicher Informationen (Datenaustausch) an. In Ermangelung einer primärrechtlichen Legaldefinition muss für eine genauere Begriffsbestimmung auf den Rahmenbeschluss 2008/977/JI des Rates104 zurückgegriffen werden, welcher der EU100 Vgl. die englische und französische Sprachfassung von Art. 2 AEUV: „shared competences“ statt divided competences und „compétence partagée“ statt compétence divisée. 101 So Mayer, JuS 2010, S. 193 mit Verweis auf das Protokoll Nr. 25 über die Ausübung der geteilten Zuständigkeiten und der Erklärung Nr. 18 zur Abgrenzung der Zuständigkeiten. Vgl. Schwarze, EuR (Beiheft 1) 2009, S. 25. 102 Besonders hervorzuheben sind an dieser Stelle vor allem die neuen Kompetenzen im Rahmen des Bereiches der strafjustiziellen Zusammenarbeit. Zu den Einzelheiten vgl. Müller-Graff , EuR (Beiheft 1) 2009, S. 117. 103 So auch Müller-Graff , EuR (Beiheft 1) 2009, S. 118; Streinz et al., Vertrag von Lissabon, S. 141. 104 Rahmenbeschluss 2008/977/JI des Rates v. 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, ABlEU. Nr. L 350/60 v. 30.12.2008.
30
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
Datenschutzrichtlinie105 (EU-DSRL) nachgebildet wurde. Der Terminus der Verarbeitung erfasst demnach jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten.106 Das europäische Recht geht insofern von einem umfassenden Verarbeitungsbegriff aus, der das Erheben und Nutzen von Daten in sich einschließt.107 Die Verarbeitung kann daher als Sammelbegriff der in Art. 87 Abs. 2 lit. a AEUV (ex-Art. 30 Abs. 1 lit. b EUV) aufgezählten Handlungsformen der polizeilichen Zusammenarbeit gesehen werden. Der Umfang des Informations- und Datenaustausches im Bereich der polizeilichen Zusammenarbeit ist somit weit gefasst und wird nur durch die europäischen Normen mit datenschutzrechtlichem Gehalt eingegrenzt.108 Das kompetenzrechtliche Verhältnis zwischen erster und dritter Säule wurde durch exArt. 47 EUV und ex-Art. 29 UAbs. 1 EUV geregelt, welcher anordnete, dass Maßnahmen der PJZS unbeschadet der Zuständigkeiten der EG ergehen. Soweit also eine Kompetenzgrundlage im Gemeinschaftsrecht existierte, hatten sich die Organe der Union auf diese zu stützen, um auf diesem Wege eine „Flucht in die intergouvernementale Zusammenarbeit“ zu verhindern.109 Maßnahmen, die in die Zuständigkeit der Gemeinschaften in der ersten Säule fielen, konnten damit nicht auf eine Bestimmung des EU-Vertrages gestützt werden.110 Umgekehrt durfte die Gemeinschaft aber auch nicht in den Kompetenzbereich der 3. Säule übergreifen.111 Aufgrund des Vorbehalts in ex-Art. 29 und 47 EUV stand jedenfalls fest, dass sich die Kompetenz der Union im dritten Pfeiler nur auf Bereiche erstrecken kann, für die keine Gemeinschaftskompetenz vorliegt112 ; Rechtsakte des Rates, die in die Kompetenzen der EG eingreifen, sind untersagt113 . Ziel ist es, den bereits vergemeinschafteten Besitzund Integrationsstand zu sichern und eine etwaige Rückverlagerung von Gemeinschafts-
105 Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281/31-51 vom 23.11.1995. 106 Art. 2 lit. b des Rahmenbeschlusses 2008/977/JI des Rates. 107 Im Gegensatz hierzu verwendet das auf europäische Ebene nicht übertragbare deutsche BDSG einen engeren Verarbeitungsbegriff, der die Erhebung und Nutzung ausklammert. Innerhalb des BDSG werden das Speichern, Verändern, Übermitteln, Sperren und Löschen von Daten als Verarbeitungsformen (Phasen) erfasst, vgl. § 3 Abs. 4 S. 1 BDSG. Hierzu Weichert, in: Kilian/Heusen, Computer-RechtsHdB (2012), Materielles allgemeines Datenschutzrecht, Rdn. 31. 108 Jour-Schröder, in: von der Groeben/Schwarze, EU/EG-Vertrag (2003), Art. 30 EUV, Rdn. 13. 109 EuGH, Rs. C-170/96, Slg. 1988, I-2763, Kommission vs. Rat (Flughafentransit), Rdn. 17; weiterhin Röben, in: Grabitz/Hilf/Nettesheim, Recht der EU (2009), Art. 29 EUV, Rdn. 4; Wasmeier/ Jour-Schröder, in: von der Groeben/Schwarze, EU/EG-Vertrag (2003), Art. 29, Rdn. 52 f. EUV. 110 Zöller, ZIS 2009, S. 341. 111 EuGH, Rs. C-317/04, EP-Rat und Kommission (Fluggastdaten), Slg. 2006, I-4721. 112 Wasmeier/Jour-Schröder, in: von der Groeben/Schwarze, EU/EG-Vertrag (2003), Vorbem. zu Art. 29 bis 42 EUV, Rdn. 54. 113 Hecker, EuStR (2007), S. 192; Wasmeier/Jour-Schröder, in: von der Groeben/Schwarze, EU/EG-Vertrag (2003), Vorbem. zu den Art. 29 bis 42 EUV, Rdn. 49 ff.
A. Grundlegung des europäischen Informationsaustausches
31
kompetenzen in die intergouvernemental geprägte PJZS zu verhindern.114 Die Unionskompetenz im dritten Pfeiler ist insoweit also negativ als „Restbestand“ zu bestimmen.115 Je weiter die Kompetenzen der Gemeinschaft ausgelegt werden, desto enger ist der Anwendungsbereich von Titel VI EUV a. F. Bei der Zusammenarbeit im Rahmen der PJZS müssen die Mitgliedstaaten beachten, dass der EUV vom Primat des Gemeinschaftsrechts vor der PJZS ausgeht.116 Die Frage, ob und inwieweit der Gemeinschaft auf dem Gebiet des Strafrechts eine Rechtssetzungskompetenz117 zukommt, war und ist noch immer stark umstritten. Ausgangspunkt bildet zunächst das Prinzip der begrenzten Einzelermächtigung (ex-Art. 5 EGV, nunmehr Art. 5 Abs. 2 EUV), wonach die Gemeinschaftsorgane eine Kompetenz nur in Bezug auf solche Materialien haben, die ihnen zuvor ausdrücklich von den Mitgliedstaaten übertragen wurden.118 Anders als etwa das Grundgesetz sehen die Gründungsverträge eben keine bereichsweise Zuständigkeitsabgrenzung vor, sondern das primäre Gemeinschaftsrecht enthält lediglich einzelne Handlungsermächtigungen zur Erreichung bestimmter Ziele, die durch den EGV vorgegeben sind.119 Ob strafrechtliche Maßnahmen zur Erreichung eines Ziels zulässig sind, ist daher durch Auslegung der jeweiligen Ermächtigungsnormen und des sonstigen primären Gemeinschaftsrechts zu ermitteln. Hierbei ist zunächst festzustellen, dass eine ausdrückliche Kompetenzzuweisung für strafrechtliche Maßnahmen im EGV a. F. nicht existierte. Dennoch bejahten vereinzelte Stimmen120 eine Kompetenz der EG zur Schaffung supranationaler Strafnormen. Diese sei als Quasi- bzw. Annexkompetenz zu den ausdrücklich geregelten Zuständigkeitsbereichen der Gemeinschaft zu verstehen gewesen.121 Eine wesentliche Argumentationsstütze dieser Ansicht kann aus der Implied-Powers-Doktrin hergeleitet werden. Entsprechend diesem völkerrechtlichen Grundsatz beinhaltet eine geschriebene Kompetenzzuweisung immer auch – als annexierte Kompetenz – die Befugnis zur Setzung der damit notwendigerweise mitzuregelnden Tatbestände.
114
Hecker, EuStR (2007), S. 192. Wasmeier/Jour-Schröder, in: von der Groeben/Schwarze, EU/EG-Vertrag (2003), Art. 29 EUV, Rdn. 53. 116 Hecker, EuStR (2007), S. 192. 117 Hierbei darf die Strafrechtssetzungskompetenz nicht mit der der Strafanweisungskompetenz verwechselt werden. Letztere verleiht der EG lediglich die Kompetenz, den nationalen Strafgesetzgebern mehr oder minder genaue Vorgaben hinsichtlich der Ausgestaltung der nationalen Straftatbestände zu machen. Der wichtige Unterschied zur Rechtssetzungskompetenz besteht also darin, dass die endgültige Entscheidung über eine Rechtsänderung beim nationalen Gesetzgeber verbleibt. Vertiefend hierzu Satzger, Internationales und Europäisches Strafrecht, S. 89. 118 Zöller, ZIS 2009, S. 234. Zum Prinzip der begrenzten Einzelermächtigung in der EU Hecker, EuStR (2007), § 4, Rdn. 54 ff. m.w.N.; Geiger, EUV/EGV (2004), Art. 2 EGV, Rdn. 2; Oppermann/ Claasen/Nettesheim, Europarecht (2009), Rdn. 513 ff. Zur Geltung dieses Prinzips im Unionsrecht siehe weiterhin Pechstein/Koenig, Die Europäische Union, Rdn. 150 ff. 119 Satzger, Internationales und Europäisches Strafrecht, S. 90, Rdn. 23. 120 So vor allem Böse, Sanktionen im Gemeinschaftsrecht (1996), S. 56, 61 ff., 96; Böse, GA 2006, S. 211, 220 ff. Zudem Pache, EuR 1993, S. 178 f.; Heitzer, Punitive Sanktionen (1997), S. 136 ff. 121 So zum Beispiel den Sachbereich bzgl. der Grundfreiheiten, der Agrar- und Umweltpolitik, u. a. 115
32
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
Gleichwohl steht die herrschende Ansicht122 ganz zu Recht auf dem Standpunkt, die Besonderheiten der strafrechtlichen Materie müssten zu einer restriktiven Auslegung führen, sodass strafrechtliche Sanktionsvorschriften im Ergebnis nicht auf die im EGV vorhandenen Kompetenzvorschriften gestützt werden könnten. Folgende Erwägungen stehen dabei im Vordergrund123 : Die Heranziehung der Implied-Powers-Doktrin kommt einem Zirkelschluss nahe: Bei Annexkompetenzen handelt es sich lediglich um Hilfsbefugnisse, welche nur zur wirksamen Ausübung bereits ausdrücklich zugewiesener Kompetenzen dienen. Besteht – wie im vorliegenden Fall – aber gerade keine ausdrückliche Zuweisung, dann vermag es auch die Lösung über die Annexkompetenz nicht eine strafrechtliche Rechtssetzungskompetenz zu legitimieren. Eine Kriminalstrafe bildet ultima ratio des staatlichen Sanktionsinstrumentariums, da regelmäßig mit ihr eine stigmatisierende Wirkung verbunden ist. Die Schaffung strafrechtlicher Regelungen wird von den nationalen Gesetzgebern daher nach wie vor als Kern ihrer ureigensten Aufgabe gesehen, sodass eine beiläufige, stillschweigende Übertragung als Annex in den Gründungsverträgen nicht beabsichtigt gewesen sein kann.124 Zudem kann mit der Systematik der Verträge argumentiert werden: Das Strafrecht wird durch ex-Art. 29 ff EUV ausdrücklich dem Bereich der dritten Säule und der intergouvernementalen Zusammenarbeit zugewiesen, die dementsprechend auch mit „Polizeilicher und Justitieller Zusammenarbeit in Strafsachen“ überschrieben wurde.125 Der EG wird hingegen durch den EGV ausdrücklich die Kompetenz zum Erlass von Bußgeldnormen126 zugewiesen. Diese Regelung würde ihren Sinn verlieren, wenn die tiefgreifende Materie der Strafsanktionen schon ohnehin bereits stillschweigend von der Sachkompetenz der EG abgedeckt wäre. Die Ansicht, dass strafrechtliche Sanktionsvorschriften nicht auf die im EGV vorhandenen Kompetenzvorschriften gestützt werden können, ergibt sich zudem auch unter Heranziehung der ex-Art. 135 und ex-Art. 280 EGV. Beide Normen enthielten bis zum Inkrafttreten des Lissabonner Vertrages127 einen Vorbehalt, wonach „die Anwendung des Strafrechts der Mitgliedstaaten und ihre Strafrechtspflege unberührt“ bleiben sollen. Aus dieser Klarstellung folgt, dass auch in Bezug auf diese Kompetenznormen – wie sonst im Gemeinschaftsrecht üblich – das Strafrecht ausgenommen sein soll.128 Insofern wird der EG durch ex-Art. 280 EGV nur eine bereichsspezifische Strafrechtssetzungsbefugnis 122 So Griese, EuR 1998, S. 476; Satzger, in: Streinz, EUV/EGV (2003), Art. 280 EGV, Rdn. 20; Waldhoff, in: Calliess/Ruffert, EUV/EGV (2007), ex-Art. 280 EGV, Rdn. 3, 19; Jokisch, Gemeinschaftsrecht und Strafverfahren (2000), S. 64; Müller-Gugenberger, in: Müller-Gugenberger/ Bieneck, WirtschaftsstrafR (2011), § 5, Rdn. 65; Filopoulos, Europarecht (2004), S. 19; Ambos, Internationales Strafrecht (2008), § 11, Rdn. 6 ff.; Hecker, EuStR (2007), § 4, Rdn. 90 ff, 101; Satzger, Internationales und Europäisches Strafrecht, S. 90, Rdn. 25; Zöller, ZIS 2009, S. 343. 123 Zum Folgenden vgl. Zöller, ZIS 2009, S. 342. 124 So auch Zöller, ZIS 2009, S. 342; Oppermann/Claasen/Nettesheim, Europarecht (2009), § 8, Rdn. 35, § 18, Rdn. 79. 125 Satzger, Internationales und Europäisches Strafrecht, S. 92, Rdn. 29; Satzger, Europäisierung (2001), S. 138 ff. 126 Zum Beispiel in ex-Art. 83 Abs. 2 lit. a EGV. 127 Diese Vorbehaltsklausel soll im neuen Art. 325 Abs. 4 EUV entfallen. 128 Satzger, Internationales und Europäisches Strafrecht, S. 91, Rdn. 28.
A. Grundlegung des europäischen Informationsaustausches
33
verliehen, welche sich auf den Bereich des Schutzes der finanziellen Interessen der EG beschränkt.129 Zusammengefasst: Die EG hatte vor Inkrafttreten des Lissabonner Vertrages keine supranationale Strafrechtssetzungskompetenz. 2. Gesetzgebungskompetenz der Union zum Erlass datenschutzrechtlicher Regelungen (Art. 16 Abs. 2 AEUV) Mit Art. 16 Abs. 2 UAbs. 1 S. 1 Hs. 1 AEUV wird der Union im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen (Art. 81 ff., 87 ff. AEUV) erstmalig eine Gesetzgebungskompetenz zum Erlass datenschutzrelevanter Vorschriften eingeräumt. Hiernach können das Europäische Parlament und der Rat gemäß dem ordentlichen Gesetzgebungsverfahren (Art. 289 Abs. 1 AEUV) Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten erlassen.130 Diese Regelungsbefugnis erstreckt sich sowohl auf Verarbeitungsprozesse durch Unionsorgane (Institutionen und Einrichtungen der Union) als auch auf mitgliedstaatliche Verarbeitungsprozesse und korrespondiert insofern mit der Bindungswirkung des Unionsgrundrechtes auf Datenschutz aus Art. 16 Abs. 1 AEUV.131 Verarbeitungsprozesse der Mitgliedstaaten können insofern nur dann auf Unionsebene geregelt werden, wenn und soweit die Mitgliedstaaten im Anwendungsbereich des Unionsrechts tätig sind. Bisher leitete sich die allgemeine Regelung des Datenschutzes bei der Anwendung des Unionsrechts durch die Mitgliedstaaten aus der Datenschutzrichtlinie ab, deren Hauptziel jedoch in der Gewährleistung des freien Datenverkehrs bestand. Das hieraus resultierende sog. Akzessorietätserfordernis zwischen Binnenmarkt und Datenschutz wurde durch den AEUV nunmehr aufgegeben und stellt insofern ein „echtes Novum“132 dar.133 Nicht zuletzt ist Art. 16 Abs. 2 AEUV im Lichte der Abschaffung der Säulenstruktur der EU zu sehen; die Norm stellt nunmehr eine einheitliche Gesetzgebungskompetenz bereit, welche das Potential besitzt, die bisher bestehende Zersplitterung datenschutzrechtlicher Vorschriften zu vereinheitlichen. Dennoch bestehen nach wie vor Zweifel, ob durch die Norm ein völlig einheitliches europäisches Datenschutzrecht geschaffen werden kann134 : So gilt für Rechtsakte der nicht vergemeinschafteten GASP mit Art. 39 AEUV eine eigenständige datenschutzrechtliche Rechtsgrundlage und auch für den Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit sieht Erklärung Nr. 21135 zum Lissabonner Vertrag die Möglichkeit vor, spezifische Datenschutzvorschriften zu erlassen, wenn sich diese als erforderlich er129 So auch Zöller, ZIS 2009, S. 342. Spezifisch zu dem Meinungsbild i. R. d. ex-Art. 280 EGV vgl. Satzger, Internationales und Europäisches Strafrecht, S. 91, Rdn. 28. 130 Kotzur, in: Geiger/Khan/Kotzur, EUV/AEUV (2010), Art. 16 AEUV, Rdn. 4. 131 Sobotta, in: Grabitz/Hilf/Nettesheim, Recht der EU (2011), Art. 16 AEUV, Rdn. 31. 132 Kingreen, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 16 AEUV, Rdn. 5. Ebenso Hijmans, ERA Forum 2010, S. 220, welcher hierin den „most important change“ im Bereich des europäischen Datenschutzes sieht. 133 Vor dem Lissabonner Vertrag war es der Union nur dann möglich, Datenschutzregelungen zu erlassen, wenn dies für das Funktionieren des Binnenmarktes erforderlich war. Zur sog. Binnenmarktakzessorietät (Art. 95 EGV) und deren Lockerung durch die Rechtsprechung des EuGH vgl. Kingreen, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 16 AEUV, Rdn. 5, Fn. 7 m.w.N. 134 Zweifelnd insofern Blas, ERA Forum 2010, S. 234 f.; Hermann/Streinz, in: Streinz, EUV/AEUV (2012), Art. 16 AEUV, Rdn. 10. 135 ABlEU. 2008 Nr. C 115, S. 345.
34
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
weisen.136 Weiterhin wird das Potential des Art. 16 AEUV durch die Möglichkeit eines opt-ins/opt-outs bestimmter Mitgliedstaaten bei Legislativakten im Bereich des RFSR gemindert. Für Großbritannien, Irland und Dänemark gelten im Raum der Freiheit, der Sicherheit und des Rechts weiterhin Sonderregelungen (sog. opt-out-Mechanismen)137 , die nun u. a. in den Protokollen Nr. 21 und 22 festgehalten sind.138 Großbritannien und Irland, die sich auch zuvor schon nicht am Schengen-Besitzstand sowie am Titel IV des EGV beteiligt haben, nehmen konsequenterweise nicht an der Gesetzgebung in den Bereichen des RFSR teil, es sei denn, sie erklären im Einzelfall ihre freiwillige Mitwirkung.139 Daneben behält sich auch Dänemark im Bereich des Art. 67 ff. AEUV vor, einzelfallbezogen hineinzuoptieren.140 Unterstellt, dass einer jener aufgezählter Staaten den Entschluss fasst, nicht an dem Austausch spezifischer personenbezogener Daten teilzunehmen, würde dies automatisch zu einer Lösung der Bindung an die an den jeweiligen Rechtsakt geknüpften Datenschutzregelungen führen.141 Soweit dort der Datenschutz nicht durch Verweise auf die allgemeinen Regelungen gewährleistet wird, ist er bei diesen Rechtsakten nur eine Annexfrage. In der Folge wird in diesem Falle die datenschutzrechtliche Gesetzgebungskompetenz von der Rechtsgrundlage umfasst, die im Schwerpunkt betroffen ist, wenn dies notwendig ist, um spezifische Bestimmungen mit anderen Zielen zu erlassen.142 3. Allgemeine Kompetenzausübungsregeln Die oben aufgeführten Kompetenzzuweisungsnormen ermöglichen es der aus ihnen berechtigten Union jedoch nicht, die zugewiesenen Kompetenzen unbeschränkt auszuüben. Vielmehr wird ihre Reichweite materiell rechtlich durch zwei maßgebliche Kompetenzausübungsregeln begrenzt, welche den äußeren Rahmen festlegen, „wie“ die jeweilige Kompetenz auszugestalten ist. Hierbei sind zum einen die Grundsätze des Subsidiaritätsprinzips (Art. 5 Abs. 1, 3 EUV) samt seiner prozedurale Absicherung nach dem neuen, einschlägigen Subsidiaritätsprotokoll und zum anderen die Grundsätze des Verhältnismäßigkeitsprinzips (Art. 5 Abs. 1, 4 EUV) zu beachten.143 Der durch den AEUV bedingte Kompetenzaufwuchs der Union wird insofern durch eine differenzierte Verfahrensausgestaltung kombiniert und sieht Bremsmöglichkeiten vor.144 136 Hijmans/Scirocco, CML Rev. (46) 2009, S. 1516; Hermann/Streinz, in: Streinz, EUV/AEUV (2012), Art. 16 AEUV, Rdn. 10. 137 Vertieft zu den opt-in- und opt-out-Mechanismen der genannten Mitgliedstaaten Kietz/Parkes, Justiz- und Innenpolitik nach dem Lissabonner Vertrag. Diskussionspapier der Forschungsgruppe EU-Integration, Stiftung für Wissenschaft und Politik-Aktuell, S. 8 f. 138 Schwarze, EuR (Beiheft 1) 2009, S. 25. 139 Streinz et al., Vertrag von Lissabon, S. 135. Hierzu zudem EuGH, Rs. C-77/05, Vereinigtes Königreich vs. Rat, Slg. 2007, I-000, sowie Rs. C-137/05, Vereinigtes Königreich vs. Rat, Slg. 2007, I-000. 140 Streinz et al., Vertrag von Lissabon, S. 135 mit Verweis auf Art. 3 n.F. Anhang zum Protokoll über die Position Dänemarks. 141 Vgl. Beispiel bei Hijmans/Scirocco, CML Rev. (46) 2009, S. 1516. 142 Sobotta, in: Grabitz/Hilf/Nettesheim, Recht der EU (2011), Art. 16 AEUV, Rdn. 31; EuGH, Rs. C-209/97, Kommission vs. Rat, Slg. 1999, I-8067 Rdn. 36 f. 143 Müller-Graff , EuR (Beiheft 1) 2009, S. 111; Heger, ZIS 2009, S. 409. 144 Müller-Graff , EuR (Beiheft 1) 2009, S. 111.
A. Grundlegung des europäischen Informationsaustausches
35
a) Subsidiaritätsprinzip (Art. 5 Abs. 1, 3 EUV) Entsprechend dem Subsidiaritätsprinzip darf die Union in den Bereichen der geteilten Gesetzgebungszuständigkeit nur dann tätig werden, sofern und soweit die Ziele der in Betracht gezogenen Maßnahmen von den Mitgliedstaaten weder auf zentraler noch auf regionaler oder lokaler Ebene ausreichend verwirklicht werden können (Insuffizienzkriterium). Darüber hinaus müssen diese Maßnahmen wegen ihres Umfangs oder ihrer Wirkungen auf Unionsebene besser zu verwirklichen sein (Positivkriterium). Das Subsidiaritätsprinzip stellt somit nicht lediglich einen bloßen Programmsatz dar, sondern ist als Kompetenzausübungsregel rechtlich verbindlich und im Wege der Subsidiaritätsklage vor dem EuGH entsprechend rechtlich überprüfbar.145 Der Informationsaustausch im Rahmen der polizeilichen und justiziellen Zusammenarbeit ist als Teilbereich des RFSR als Materie der geteilten Zuständigkeit ausgestaltet. Somit muss den durch das Subsidiaritätsprinzip geltenden Maßstäben unmittelbar entsprochen werden. Hierin ist eine wesentliche Neuerung der Verträge zu sehen: Ursprünglich war das Subsidiaritätsprinzip (ex-Art. 5 Abs. 2 EGV) nur im Rahmen der vergemeinschafteten erste Säule, nicht jedoch innerhalb der zuvor noch intergouvernemental geprägten dritten Säule anwendbar.146 Gesonderte Hervorhebung erfährt die Geltung des Subsidiaritätsprinzips im Rahmen der PJZS nochmals durch Art. 69 AEUV, welcher die nationalen Mitgliedstaaten verpflichtet, bei Gesetzgebungsvorschlägen und -initiativen im Bereich des RFSR für die Einhaltung des Subsidiaritätsprinzips Sorge zu tragen (sog. Subsidiaritäts-Frühwarnsystem).147 Den an der Rechtssetzung beteiligten Unionsorganen wird hierdurch eine Begründungspflicht vor dem Erlass von Maßnahmen auferlegt, in deren Rahmen die wirtschaftliche und organisatorische Leistungsfähigkeit sowie rechtlichen Handlungsmöglichkeiten der Mitgliedstaaten einer Gesamtbewertung zu unterziehen sind. Der grenzüberschreitende polizeiliche Informationsaustausch sieht sich zahlreichen administrativen und gesetzlichen Hindernissen ausgesetzt.148 Versuche, den grenzüberschreitenden Informationsaustausch auf bi- bzw. multilateraler Ebene zu optimieren, waren in ihrem Wirkungskreis begrenzt und konnten die Sicherheitsinteressen der EU nicht garantieren. Die Überwindung divergierender nationaler Regelungen durch eine Harmonisierung des Informationsaustausches und der hiermit notwendigerweise verbundenen datenschutzrechtlichen Fragestellungen eröffnet insofern die Möglichkeit eines Tätigwerdens auf Unionsebene.
145 Hecker, EuStR (2012), S. 290, Rdn. 49. Vertiefend zur Subsidiaritätsklage Frenz, Jura 2010, S. 641 ff.; Uerpmann-Wittzack/Edenharter, EuR 2009, S. 313 ff. 146 Vgl. Calliess, in: Calliess/Ruffert, Verfassung der EU (2006), Art. I-11, Rdn. 21 ff. Vor Inkrafttreten des Lissabonner Vertrages war das Subsidiaritätsprinzip im Rahmen der PJZS in gewisser Weise dennoch zu berücksichtigen, da die Handlungsinstrumentarien der Dritten Säule nur eingesetzt werden durften „soweit dies erforderlich“ war (ex-Art. 29 Abs. 2, 3. Spstr. EUV). 147 Vertiefend zu dem eigenen Regelungsgehalt des Art. 69 AEUV Suhr, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 69 AEUV, Rdn. 5 f. 148 Hierzu § 1 B. II. S. 59.
36
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
b) Verhältnismäßigkeitsgrundsatz (Art 5 Abs. 1, 4 EUV) Die Kompetenzausübung der Union wird darüber hinaus durch den Verhältnismäßigkeitsgrundsatz (Art. 5 Abs. 4 UA 1 EUV) flankiert, der nunmehr auf das Verhältnis zwischen Union und Mitgliedstaaten Anwendung findet. Hierbei werden die Mitgliedstaaten belasteten Individuen gleichgestellt, denen gegenüber eine Maßnahme nur dann gerechtfertigt erscheint, wenn sie zur Erreichung des mit ihr angestrebten Gemeinschaftsziels geeignet, erforderlich und angemessen ist.149
IV. Grundrechtliche Schutzebenen des Datenschutzes Es entspricht einem logischen Automatismus, dass die Möglichkeit der Mitgliedstaaten, große Mengen von Daten ohne zeitliche Verzögerung zu Präventions- und Repressionszwecken grenzüberschreitend auszutauschen, unumgänglich datenschutzrechtliche Fragestellungen aufwirft. Immer dann wenn mehrere Staaten Daten verarbeiten können, potenziert sich für den Betroffenen die Wahrscheinlichkeit einer möglichen Verletzung seiner Individualrechte. Ein wirksames Rechtsschutzsystem, welches demjenigen zur Verfügung gestellt wird, dessen Daten gespeichert, ausgetauscht oder auf sonstige Weise verarbeitet werden, ist somit essentiell.150 Schon vor Inkrafttreten des Lissabonner Vertrages verpflichtete ex-Art. 30 Abs. 1 lit. EUV die Mitgliedstaaten im Rahmen des Informationsaustausches dazu, die entsprechenden Vorschriften über den Schutz personenbezogener Daten zu beachten. Durch die Auflösung der Tempelstruktur der EU, die damit verbundene Überführung der ehemaligen PJZS in das Recht der Europäischen Gemeinschaften und schließlich durch das Verbindlichwerden der Europäischen Grundrechte-Charta hat der primärrechtliche Datenschutz nicht nur gesonderte Hervorhebung, sondern auch Stärkung erfahren, sodass nunmehr von einem europäischen Datenschutzgrundrecht gesprochen werden kann. Die auf europäischer Ebene bestehenden individualrechtlich verbürgten Garantien bilden den Maßstab, an welchem sämtliche Rechtsakte der PJZS mit datenschutzrechtlicher Relevanz zu messen sind. Dies gilt gleichermaßen für zukünftige, wie auch bereits in Kraft getretene Rechtsakte. Eine systematisierte Darstellung der grundrechtlichen Konstituenten jenes europäischen Datenschutzgrundrechtes ist daher unverzichtbar. 1. Grundrechtliche Schranken des Datenschutzes innerhalb der EU Durch Art. 6 EUV wird der europäische Grundrechtsschutz gewissermaßen dreigleisig ausgestaltet.151 Die Konstruktion eines europäischen Datenschutzgrundrechtes erfährt innerhalb des geltenden Primärrechts an zweierlei Stellen Erwähnung: So garantiert zu149
Hecker, EuStR (2012), S. 293, Rdn. 54. Harte-Bavendamm/v. Gerlach, in: Kilian/Heusen, Computer-RechtsHdB (2012), Rechtsschutz von Datenbanken, Rdn. 6. Dies gilt insb. für diejenigen Daten, die in digitalisierter Form auf computergestützten Trägermedien gespeichert sind oder unmittelbar beim Datenbankinhaber online abgerufen werden können. 151 Mayer, EuR (Beiheft 1) 2009, S. 87. 150
A. Grundlegung des europäischen Informationsaustausches
37
nächst Art. 16 Abs. 1 AEUV, dass jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat; mit gleichen Wortlaut wird der Schutz personenbezogener Daten zusätzlich auch von Art. 8 GRC aufgegriffen, wobei jedoch in dessen Regelung weitere Konkretisierungen und Ausgestaltungen dieses Rechtes vorgenommen werden. Begünstigt durch die aus dem Lissabonner Vertrag erwachsende Rechtspersönlichkeit der EU und den nunmehr möglichen Beitritt der EU zur EMRK, lässt sich ein Datenschutzgrundrecht auch auf völkerrechtlicher Ebene aus Art. 8 EMRK herleiten. Die durch diese Normen geschaffenen Garantien sind keineswegs deckungsgleich152 , sodass sich ein differenziertes System mehrerer Ebenen des Grundrechtsschutzes ergibt. Im Fortlauf gilt es daher zunächst die einzelnen Ebenen herauszuarbeiten, bevor diese dann anhand der allgemeinen Regelungen zueinander in Verhältnis gesetzt werden können. 2. Art. 16 Abs. 1 AEUV Bereits nach alter Rechtslage erfuhr der Schutz personenbezogener Daten innerhalb des Primärrechts (ex-Art. 286 EGV) Erwähnung. Mit Inkrafttreten des Lissabonner Vertrages wurde der hierin durch Verweis auf Sekundärrechtsakte propagierte Schutz, welcher sich bis dato nur auf die ehemals erste Säule erstreckte, erheblich bekräftigt und entsprechend hervorgehoben. Der Schutz personenbezogener Daten bildet nunmehr einen Teil der Grundsätze des Handelns der EU, genauer der allgemeinen geltenden Bestimmungen (Titel II des AEUV). Nicht nur, dass in diesem Teil des AEUV wesentliche Prinzipien, wie z. B. Diskriminierungsverbote oder aber der öffentliche Zugang zu Dokumenten, geregelt sind, sondern es ist vor allem seinem generellen Anwendungsbereich auf das gesamte EU-Recht zu verdanken, dass eine Aufwertung der in ihm geregelten Rechte automatisiert eintritt.153 Artikel 16 Abs. 1 AEUV gewährt jeder Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten und greift hierbei auf den identischen Wortlaut des Grundrechtes auf Schutz personenbezogener Daten aus Art. 8 GRC zurück. Jene Dopplung mag zwar auf den ersten Blick unproblematisch, wenn nicht sogar vereinheitlichend wirken. De facto erwachsen hieraus jedoch – nicht zuletzt auch in Hinblick auf die Regelung des Art. 52 GRC – zahlreiche Fragestellungen: Kann Art. 16 Abs. 1 AEUV als Grundrecht verstanden werden? Und falls ja, inwiefern lässt sich dieses „neue“ Grundrecht in das bestehende Gefüge des mehrebigen Grundrechtsschutzes personenbezogener Daten auf EU-Ebene einfügen? Allgemein gültige Kriterien, die durch eine Norm des EU-Rechts erfüllt werden müssen, um sie als Grundrecht kategorisieren zu können, sucht man vergeblich. Anknüpfend an die jeweiligen Funktionen der einzelnen Normen sind Grundrechte maßgeblich durch ihre ihnen zuteil werdende Abwehrfunktion154 gekennzeichnet. Grundrechte im Sinne der vorliegenden Arbeit müssen insofern als Rechte des Individuums gegen Hoheitsträger verstanden werden, welche kraft des internationalen Rechts gelten oder auf der höchsten innerstaatlichen Normstufe garantiert werden, dem Einzelnen eine grundlegende Rechtsposition gegenüber den Hoheitsträgern einräumen und diesen im Falle der Zulässigkeit 152
Britz, EuGRZ 2009, S. 2. Hijmans/Scirocco, CML Rev. (46) 2009, S. 1515; Kingreen, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 16 AEUV, Rdn. 2 ff.; Herrmann, in: Streinz, EUV/AEUV (2012), Art. 16 AUEV, Rdn. 4. 154 Allgemein zu Rechtswirkungen der Grundrechte vgl. Rengeling/Szczekalla, GrEU (2004), S. 207 ff. 153
38
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
einer Beschränkung eine Rechtfertigung abverlangen.155 Dieses Verständnis des Grundrechtsbegriffes gibt somit zugleich auch den Fortgang der sich anschließenden Untersuchung vor: Es stellen sich – der allgemeinen Grundrechtsdogmatik entsprechend – Fragen nach dem Schutzbereich des Art. 16 Abs. 1 AEUV, möglichen Eingriffen und der Rechtfertigung. a) Schutzbereich Der sachliche Schutzbereich des Art. 16 Abs. 1 AEUV erstreckt sich auf sog. personenbezogene Daten. Während terminologisch kaum Ausführungen zu dem Datenbegriff an sich zu finden sind156 fokussieren sich Rechtsprechung und Forschung maßgeblich auf die Bestimmung des Kriteriums der Personenbezogenheit der Daten. In Anlehnung an die Datenschutzrichtlinie157 , welche die wesentliche Grundlage bei der Schaffung des Art. 16 AEUV darstellte und deren Auslegung somit auf die Primärrechtsnorm zurückwirkt, sind personenbezogene Daten all jene Informationen über eine bestimmte oder bestimmbare natürliche Person. Die Daten müssen somit eine Individualisierung des betroffenen Individuums ermöglichen. Hierbei genügt es für das Bestehen einer individualrechtlichen Gefährdungslage bereits, dass eine Person potentiell bestimmt werden kann – sie also bestimmbar ist. Als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.158 Aus den gewonnenen Angaben, welche bis zu diesem Zeitpunkt bloße Daten darstellen, können durch einen Wertungsvorgang Informationen werden, die Bereiche privater Lebensgestaltung erfassen, ohne dass dies der Einzelne konkret feststellen kann.159 Es ist somit für die Bejahung eines Personenbezuges ausreichend, wenn dieser erst durch weitere Datenverarbeitungsprozesse hergestellt werden kann.160 Nicht notwendig müssen die Daten den Privat- oder Intimbereich betreffen, da der sachliche Anwendungsbereich des Datenschutzes von jeher sehr weit verstanden wird.161 Personenbezogene Daten können somit vergleichsweise harmlos sein, wenn sie sich in Angaben wie z. B. dem Namen, dem Alter oder der Telefonnummern der betroffenen Person erschöpfen. Im Rahmen mitgliedstaatlicher Kriminalitätsbekämpfung hingegen werden sensibelste Daten z. B. biometrische Daten wie DNS-Marker oder Fingerabdrücke, Gegenstand mitgliedstaatlicher Kooperation.162 Derartige Daten ermöglichen erst eine Aufklärung von Straftaten und bilden daher die Basis jeglicher effektiver grenzüberschreitender Kriminalitätsbekämpfung. Der Bereich der polizeilichen und justiziellen Zusammenarbeit lebt somit – mehr als jeder andere Bereich des EU-Rechts – von 155
So auch Ehlers, in: Ehlers, EuGR (2009), § 14, Rdn. 1. Hierzu § 1 A. II. 2., S. 20. 157 Vgl. nur Art. 2 lit. a RL 95/46/EG; Art. 2 lit. a VO (EG) 45/2001. 158 Vgl. auch Art. 2 lit. a RB 2008/977/JI. 159 Frenz, Europ. Grundfreiheiten (2009), Rdn. 1370; Mehde, in: Heselhaus/Nowak, HdbGR (2006), § 21, Rdn. 22 f. 160 Frenz, Europ. Grundfreiheiten (2009), Rdn. 1371. 161 Frenz, Europ. Grundfreiheiten (2009), Rdn. 1372; Sobotta, in: Grabitz/Hilf/Nettesheim, Recht der EU (2011), Art. 16 AEUV, Rdn. 22 m.w.N. in Fn. 44. 162 Hatje, Datenschutz Lissabon (2009), S. 23. 156
A. Grundlegung des europäischen Informationsaustausches
39
der Verarbeitung personenbezogener Daten. Zusammenfassend lässt sich also sagen, dass all solche Daten personenbezogen sind, welche einen persönlichkeitsrelevanten Bereich betreffen. Während sich die frühere Regelung des Art. 286 EGV, als Vorgängernorm des Art. 16 Abs. 1 AEUV, auf die Nennung der zum Datenschutz verpflichteten Stellen beschränkte163 , wird durch den neuen Normtext des Art. 16 Abs. 1 AEUV die Dimension des Datenschutzes primär auf den abwehrrechtlichen Aspekt der Grundrechtsgestaltung gestützt. Die Norm selbst legt insofern zunächst die Begünstigten des Datenschutzes fest, indem sie jeder Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten gewährt. Datenschutz ist somit nicht als Bürgerrecht, sondern vielmehr als allgemeines Menschenrecht innerhalb des Unionsgebietes zu verstehen. Die geforderte Personenbezogenheit der Daten hat eine direkte Konsequenz für den personalen Anwendungsbereich des Datenschutzrechtes: So müssen die Daten zunächst eine natürliche Person selbst, d. h. individuell, betreffen. Insofern werden reine Geschäftsdaten vom Schutzbereich ausgeschlossen.164 Aus der Zusammenschau mit Art. 16 Abs. 2 AEUV, welcher die Regelungskompetenzen zum Erlass datenschutzrechtlicher Vorschriften verleiht, und der bis dato bestehenden sekundärrechtlichen Ausgestaltung des Datenschutzes verengt sich der personale Schutzbereich auf natürliche Personen.165 Zum Datenschutz verpflichtet werden die Organe166 , Einrichtungen sowie sonstigen Stellen der Union. Die Mitgliedstaaten selbst hingegen nur dann, wenn sie Tätigkeiten im Anwendungsbereich des Unionsrechtes ausüben (Art. 16 Abs. 2 AEUV). Infolgedessen entspricht der räumliche Schutzbereich des Art. 16 Abs. 1 AEUV demjenigen des Unionsrechts, also dort, wo die Mitgliedstaaten ihre Hoheitsrechte ausüben.167 b) Eingriff Ein Eingriff in den Schutzbereich des Art. 16 Abs. 1 AEUV ist immer dann gegeben, wenn personenbezogene Daten verarbeitet werden. Der Terminus der Verarbeitung bildet den Oberbegriff für alle datenbezogenen Vorgänge168 und erfasst – wie bereits dargestellt unter anderem unter Rückgriff auf Art. 2 lit. b RL/95/46/EG – jeden mit oder ohne Hilfe 163
Sobotta, in: Grabitz/Hilf/Nettesheim, Recht der EU (2011), Art. 16 AEUV, Rdn. 17. Frenz, Europ. Grundfreiheiten (2009), Rdn. 1367. Wobei hier dann jedoch der Grundrechtsschutz wegen der Berufs- oder Eigentumsfreiheit, Art. 15–17 GRC, naheliegend ist. 165 So auch Jarass, EU-Grundrechte (2005), § 13, Rdn. 6; Bernsdorff, in: Meyer, GRCh (2011), Art. 8 GRC, Rdn. 18; Sobotta, in: Grabitz/Hilf/Nettesheim, Recht der EU (2010), Art. 16 AEUV, Rdn. 17; Siemen, Datenschutz (2006), S. 281 f.; a.A. Knecht, in: Schwarze et al., EU-Kommentar (2012), Art. 8 GRC, Rdn. 3. Zu der Diskussion, ob auch juristischen Personen eine Grundrechtsberechtigung zugestanden werden kann, vgl. Kingreen, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 8, Rdn. 11 m.w.N. Für juristische Personen gilt lediglich ein abgestufter Schutz für den speziellen Bereich der „berechtigten Interessen“ siehe Art. 1 Abs. 2, sowie 12. Erwägungsgrund der RL 2002/58/EG. Zur Kritik hieran vgl. Harings/Classen, EuZW 2008, S. 299, Fn. 56; a.A. Kühling/ Seidel/Sivridis, Datenschutzrecht (2008), S. 45, welcher den personalen Schutzbereich auch bei juristischen Personen als eröffnet ansieht sobald das Grundrecht wesensmäßig auf diese anwendbar ist. 166 Art. 14 ff. EUV. 167 Sobotta, in: Grabitz/Hilf/Nettesheim, Recht der EU (2010), Art. 16 AEUV, Rdn. 19 sowie EuGH, Rs. C 111/05, Aktiebolaget NN, Slg. 2007, I-2697, Rdn. 54 ff. 168 Kingreen, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 8 GRC, Rdn. 12. 164
40
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten. Das europäische Recht geht insofern von einem umfassenden Verarbeitungsbegriff aus, der das Erheben und Nutzen von Daten in sich einschließt. Für das Vorliegen eines Eingriffes ist nicht entscheidend, ob die übermittelten Informationen sensibel sind oder ob der Betroffene durch den Weitergabevorgang konkrete Nachteile erlitten hat.169 c) Schrankenlose Geltung? Innerhalb der Verträge gibt es nur wenige abwehrrechtlich ausgestaltete Grundrechte, welche absolut, d. h. uneinschränkbar gelten. Nachdem nun Schutzbereich und Eingriffsregelungen des Art. 16 AEUV dargestellt sind, hängt daher die Beantwortung der Frage, ob es sich bei dem in Art. 16 Abs. 1 AEUV geregelten Recht auf Schutz personenbezogener Daten um ein abwehrechtlich ausgestaltetes Grundrecht handelt, nunmehr maßgeblich von dem Vorliegen einer Schranke/Rechtfertigung erfolgter Eingriffe ab. Vor allem im Vergleich mit dem wortlautidentischen Art. 8 Abs. 1 GRC fällt auf, dass innerhalb dieses Chartarechtes spezifische Schrankenregelungen vorgesehen sind, während indes Art. 16 Abs. 1 AEUV vermeintlich keine Schranken für Eingriffe in das zugewiesene Recht vorsieht. Ein Teil der Lehre geht somit gestützt auf den Wortlaut des Art. 16 Abs. 1 AEUV von einer schrankenlosen Geltung des Datenschutzrechtes aus. Die Relevanz der schrankenlosen Geltung entfaltet sich vor allem vor dem Hintergrund des mehrebigen Grundrechtsschutzes, welcher aus der Mehrfachverbriefung des Datenschutzrechtes resultiert. Ungeachtet dessen, dass das Element der Beschränkbarkeit ein wesentliches Merkmal von abwehrrechtlich ausgestalteten Grundrechten ist, wird trotz fehlender Schrankenregelung innerhalb der Literatur170 überwiegend unterstellt, dass es sich bei Art. 16 Abs. 1 AEUV (dennoch) um ein Grundrecht handle. Ob dieser Kategorisierung eine reflektierte Entscheidung zugrunde liegt, mag dahin gestellt bleiben. Dogmatisch gefestigte Begründungen für die Zuschreibung des Grundrechtscharakters des Art. 16 Abs. 1 AEUV sucht man vergeblich. Andere hingegen versuchen Kollisionen mit dem aus der GRC gewährten Recht auf Schutz personenbezogener Daten zu vermeiden, indem Art. 16 Abs. 1 AEUV der Grundrechtsgehalt abgesprochen wird. Vielmehr sei Art. 16 Abs. 1 AEUV als bloße „Formulierung im Grundrechtsstil“171 oder als individualrechtlich ausgeformte „Grundsatzbestimmung“172 zu verstehen. Jedoch erfolgt dies nicht mit dem Verweis auf die fehlende Beschränkbarkeit des Rechtes, sondern primär durch Verweis auf die fehlende Regelungswirkung des Art. 16 Abs. 1 AEUV. So erschöpfe sich die Regelungswirkung des Art. 16 169 EuGH, Rs. C-465/00 u. a., Slg. 2003, I-4989, 5043, Österreichischer Rundfunk, Rdn. 73; Bernsdorff, in: Meyer, GRCh (2011), Art. 8 GRC, Rdn. 23. 170 Beispielhaft Frenz, Europ. Grundfreiheiten (2009), Rdn. 1357; Bernsdorff, in: Meyer, GRC (2010), Art. 8 GRC, Rdn. 17. 171 So Britz, EuGRZ 2009, S. 2. 172 So zu lesen bei Folz, in: Vedder/Heintschel von Heinegg, EUV/AEUV (2012), Art. 16 AEUV, Rdn. 1.
A. Grundlegung des europäischen Informationsaustausches
41
Abs. 1 AEUV in einer rein programmatischen und vor allem politisch motivierten Dopplung und Betonung des in Art. 8 Abs. 1 GRC verbürgten Grundrechtes auf Schutz personenbezogener Daten. Telos des Art. 16 Abs. 1 AEUV sei es insofern nur, durch die zusätzliche Verankerung des Datenschutzgrundrechtes in den Verträgen das Recht jedes Einzelnen auf den Schutz seiner personenbezogenen Daten überall innerhalb des EU-Gebietes zu bekräftigen.173 Insofern sei Art. 16 Abs. 1 AEUV als bloße deklaratorische Wiederholung174 des Datenschutzgrundrechtes aus Art. 8 GRC zu verstehen, welcher eine rein politische Signalwirkung zukommen soll. Eine eigene Bedeutung des Art. 16 Abs. 1 AEUV wird insofern verneint.175 Beide Ansätze können jedoch nur schwerlich überzeugen: Ersterem fehlt die dogmatische Begründung, warum trotz Annahme einer schrankenlosen Geltung Art. 16 Abs. 1 AEUV ein Grundrecht darstellt. Zweitere scheint maßgeblich von dem Willen getragen zu sein, möglicherweise auftauchende Kollisionen mit dem durch die Grundrechtscharta gewährten Schutzniveau zu vermeiden. Gemein ist beiden Lösungsvorschlägen jedoch, dass sie von einer schrankenlosen Geltung des Art. 16 Abs. 1 AEUV ausgehen. Dies muss folglich den Ausgangspunkt jeder Überlegung bilden. Zwar ist es vor allem der Wortlaut des Art. 16 Abs. 1 AEUV, welcher die Annahme einer schrankenlosen Geltung des Rechts auf den Schutz personenbezogener Daten nahe legt, jedoch muss auch die Entstehungsgeschichte der Norm berücksichtigt werden. So stehen einer schrankenlosen Geltung des Art. 16 Abs. 1 AEUV bereits die Gesetzgebungsmaterialien entgegen. Wie zutreffend von Bernsdorff176 bemerkt, weist u. a. die dem Lissabonner Vertrag beigefügte Erklärung (Nr. 20) zu Art. 16 AEUV darauf hin, dass auch im Rahmen des Art. 16 Abs. 1 AEUV die im Sekundärrecht und in Art. 8 GRC festgelegten Datenverarbeitungsanforderungen heranzuziehen sind.177 Der zweifellos bestehende Konkretisierungsbedarf des Art. 16 Abs. 1 AEUV wird nicht zuletzt dadurch verdeutlicht, dass für die Bestimmungen des Schutzbereiches der Norm auf die sekundärrechtlichen Bestimmungen der Datenschutzrichtlinien zurückgegriffen wird. Zur näheren Ausformung der Bestimmung muss insofern stets auch der korrelierende Art. 8 GRC herbeigezogen werden.178 Darüber hinausgehend überzeugt auch die folgende Erwägung179 , die Schrankenregelung des Art. 8 Abs. 2 GRC in Art. 16 Abs. 1 AEUV hineinzulesen: Artikel 6 Abs. 1 EUV ordnet die Gleichrangigkeit zwischen Chartarechten und den Vertragsregelungen an und begründet zugleich die Verbindlichkeit der Charta. Nach der Rechtsprechung des EuGH tritt eine Bindung der Mitgliedstaaten an die Unionsgrundrechte ein, sobald diese im Anwendungsbereich des Unionsrechtes legislativ tätig werden180 . So wurde seit jeher der Anwendungsbereich der bisher maßgebenden DSRL und des Unionsrechtes sehr weit ausge173
Zerdick, in: Lenz/Borchardt, EU-Verträge (2010), Art. 16 AEUV, Rdn. 5. Streinz/Michel, in: Streinz, EUV/AEUV (2012), Art. 52 GRC, Rdn. 13; Borowsky, in: Meyer, GRCh (2011), Art. 52 GRCh, Rdn. 24. 175 Kühling/Seidel/Sivridis, DSR (2011), S. 19. 176 Bernsdorff, in: Meyer, GRCh (2011), Art. 8 GRC, Rdn. 17. 177 Bernsdorff, in: Meyer, GRCh (2011), Art. 8 GRC, Rdn. 17. 178 Herrmann, in: Streinz, EUV/AEUV (2012), Art. 16 AEUV, Rdn. 4; Kotzur, in: Geiger/Khan/ Kotzur, EUV/AEUV (2010), Art. 16 AEUV, Rdn. 2. 179 Argumentation zu finden bei Hermann, in: Streinz, EUV/AEUV (2012), Art. 16 AEUV, Rdn. 5. 180 Diese gängige Rechtsprechungspraxis hat zudem in Art. 51 Abs. 1 GRC Niederschlag gefunden. 174
42
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
legt, um ein möglichst hohes Schutzniveau personenbezogener Daten zu gewährleisten.181 Ein über dieses hohe Schutzniveau der Sekundärrechtsnormen und der Charta hinausgehender Schutz personenbezogener Daten kann insofern durch die Schaffung des Art. 16 Abs. 1 AEUV nicht gewährleistet werden, sodass dies wiederum für eine einheitliche Anwendung der Bestimmungen von Art. 8 GRC und Art. 16 Abs. 1 AEUV spricht.182 Durchaus kann generell an der Sinnhaftigkeit einer Dopplung des Datenschutzrechts in Verträgen und Charta gezweifelt werden. Sie führt im Rahmen des Art. 16 Abs. 1 AEUV jedoch dazu, dass hier dieselben Schranken zur Anwendung gelangen müssen, welche in der Charta durch Art. 8 Abs. 2 GRC festgesetzt sind183 . Zusammenfassend lässt sich daher sagen, dass Art. 16 Abs. 1 AEUV durchaus keinen schrankenlosen Schutz personenbezogener Daten gewährleistet. Somit sind die Voraussetzungen eines als Abwehrrecht fungierenden europäischen Grundrechtes erfüllt. Bei Art. 16 Abs. 1 AEUV und Art. 8 GRC handelt es sich somit um parallel bestehende, identische Grundrechte, welches denselben Schutzbereich aufweisen und denselben Schranken unterworfen sind. 3. Art. 8 EMRK Durch Art. 6 Abs. 2 EUV wird der Union nunmehr endlich die Möglichkeit eines Beitritts zur EMRK eröffnet.184 Darüber hinausgehend wurde zudem auch innerhalb der EMRK durch das Änderungsprotokoll Nr. 14185 die Grundlage für einen Beitritt der EU geschaffen. Artikel 17 des Änderungsprotokolles fügte in Art. 59 EMRK einen neuen Abs. 2 ein, wonach die Union der Konvention beitreten kann.186 Somit bildet die EMRK schon jetzt ein Auffangnetz im Falle von Grundrechtsverstößen gegenüber den Unionsbürgern.187 Vor der ausdrücklichen Anerkennung durch Art. 8 GRC und Art. 16 AEUV wurde der Schutz personenbezogener Daten im Unionsrecht durch Rückgriff auf die völkerrechtlicher Ebene primär in der EMRK im Rahmen der Achtung der privaten Sphäre des Art. 8 EMRK begründet.188 Artikel 8 EMRK fungiert in der Rechtsprechung des EGMR als Auffanggrundrecht für die persönliche Lebensgestaltung und Lebensführung und erschöpft sich innerhalb seines Grundrechtsgehaltes somit nicht in einem bloßen ab-
181
Ausführlich hierzu Britz, EuGRZ 2009, S. 3 ff. So Herrmann, in: Streinz, EUV/AEUV (2012), Art. 16 AEUV, Rdn. 5. 183 In diesem Sinne auch Sobotta, in: Grabitz/Hilf/Nettesheim, Recht der EU (2011), Art. 16 AEUV, Rdn. 8. Zu den Schrankenregelungen des Art. 8 Abs. 2 GRC sogleich. 184 Mayer, EuR (Beiheft 1) 2009, S. 88. 185 Protokoll Nr. 14 zur Konvention zum Schutz der Menschenrechte und Grundfreiheiten über die Änderung des Kontrollsystems der Konvention, BGBl. 2006 II, S. 138. 186 Vertieft hierzu Obwexer, EuR 2012, S. 122. 187 Mayer, EuR (Beiheft 1) 2009, S. 89. 188 Vgl. nur Art. 1 Abs. 1 DSRL; EuGH, Rs. C-465/00, C-138/01 und C-139/01, Österreichischer Rundfunk u. a., Slg. 2003, I-4989 Rdn. 70 f.; Rs. C-369/98, Fisher, Slg. 2000, I-6751 Rdn. 34; zur EMRK siehe EGMR (GK) v. 16. 2. 2000, Nr. 27798/95, Rep. 2000-II, Rdn. 65, Amann vs. Schweiz; EGMR v. 04. 05. 2000, Nr. 28341/95, Rep. 2000-V, Rdn. 43, Rotaru vs. Rumänien; EGMR v. 25. 01. 1997, 22009/93, Rep. 1997-I, Rdn. 95, Z vs. Finnland; EGMR v. 26. 03. 1987, 9248/81, Serie A Nr. 116, S. 22, Rdn. 48, Leander vs. Schweden; Sobotta, in: Grabitz/Hilf/Nettesheim, Recht der EU (2011), Art. 16 AEUV, Rdn. 5. Für einen Überblick s. Tulkens, La protection des données et la Convention européenne des droits de l’homme. Entre effectivité et complementarité, S. 163 ff. 182
A. Grundlegung des europäischen Informationsaustausches
43
wehrrechtlichen Privatsphärenschutz.189 Der EGMR hat bereits in einer Vielzahl von Entscheidungen die Auslegung des Art. 8 EMRK konkretisiert.190 Die EMRK erlaubt den durch sie verpflichteten Mitgliedstaaten den Eingriff in den Schutzbereich des Rechts auf Privatleben, wenn dieser zur Wahrung der im zweiten Absatz des Art. 8 EMRK bezeichneten Interessen notwendig und durch diese Interessen gerechtfertigt ist. Ungeachtet dessen ist hierbei der Verhältnismäßigkeitsgrundsatz zu berücksichtigen. 4. Art. 8 GRC Durch die Neuregelung des Art. 6 Abs. 1 EUV, welcher die Charta der Grundrechte den Verträgen gleichrangig erklärt191 , wurde das durch Art. 8 GRC erfasste Grundrecht auf Schutz personenbezogener Daten unmittelbar rechtsverbindlich. Er ist als lex specialis zu Art. 7 GRC anzusehen.192 Das Datenschutzgrundrecht des Art. 8 GRC beinhaltet einen dreifachen Individualrechtsschutz. Artikel 8 Abs. 1 GRC statuiert zunächst einen Abwehranspruch, während Art. 8 Abs. 2 S. 2 GRC dem Betroffenen, dessen personenbezogene Daten verarbeitet werden, einen Auskunfts- und gegebenenfalls auch einen Berichtigungsanspruch zugesteht. a) Schutzbereich und Eingriff Wie bereits ausgeführt wurde bei Schaffung des Art. 16 Abs. 1 AEUV bewusst auf das bereits in Art. 8 Abs. 1 GRC verankerte Recht auf den Schutz personenbezogener Daten zurückgegriffen. Der Wortlaut beider erster Absätze der Normen ist identisch. In der Konsequenz besteht daher auch in Bezug auf den Schutzbereich und einen möglichen Eingriff beider Rechte eine vollständige Kongruenzlage. Art. 8 Abs. 1 GRC weist somit einen mit Art. 16 Abs. 1 AEUV identischen Schutzbereich und Eingriffstatbestand auf.193 Dennoch bestehen zwischen Art. 16 Abs. 1 AEUV und Art. 8 Abs. 1 GRC vereinzelte Unterschiede: Wie auch bei Art. 16 Abs. 1 AEUV sind aufgrund des Art. 51 Abs. 1 S. 1 GRC neben den Organen, Einrichtungen oder sonstigen Stellen der Union, die Mitgliedstaaten bei der Durchführung des Unionsrechtes Adressaten und Verpflichtete des Chartarechtes. Jedoch werden die Mitgliedstaaten bei einem Handeln im Rahmen ihrer ureigenen Kompetenzbereiche, z. B. bei Tätigkeiten der Mitgliedstaaten im Strafrechtsbereich, nicht zur Einhaltung der Grundrechtscharta verpflichtet. Innerhalb der Regelung des Art. 51 GRC 189 Sobotta, in: Grabitz/Hilf/Nettesheim, Recht der EU (2010), Art. 16 AEUV, Rdn. 5, Fn. 10 m.w.N. 190 Beispielhaft EGMR, Urt. der Großen Kammer v. 04.12.2008, Nr. 30562/04, Marper vs. Vereinigtes Königreich; EGMR v. 26.03.1987, Nr. 9248/81, Leander vs. Schweden; EGMR, Urt. der Großen Kammer v. 04.05.2000, Nr. 28341/95, Rotaru vs. Rumänien; EGMR v. 16.02.2000, Nr. 27798/95, Amann vs. Schweiz; EGMR v. 25.09.2001, Nr. 44787/98, P.G. and J.H. vs. Vereinigtes Königreich; EGMR v. 28.01.2003, Nr. 44647/98, Peck vs. Vereinigtes Königreich. 191 Insofern wird die Charta selbst nicht Bestandteil der EU-Verträge, sondern durch den Verweis in Art. 6 EUV in das EU-Recht korporiert. Zu den Hintergründen dieser Entscheidung, vgl. Mayer, EuR (Beiheft 1) 2009, S. 90 ff. 192 Kingreen, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 8 GRC, Rdn. 1; Mehde, in: Heselhaus/ Nowak, HdbGR (2006), § 21, Rdn. 13. 193 Insofern kann auf die Ausführungen zu Art. 16 Abs. 1 AEUV verwiesen werden.
44
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
kommt der Wille des Grundrechtskonvents deutlich zum Ausdruck, dass trotz Inkrafttretens der Charta eine trennscharfe Abgrenzung der europäischen Grundrechtsordnung von den Rechtsordnungen der Mitgliedstaaten beibehalten werden soll.194 Frenz versteht die allgemeine Bestimmung des Art. 51 GRC insofern als Schutzbereichsausschluss für all jene Datenverarbeitungen, welche die nationale Sicherheit oder das Strafrecht betreffen.195 Für Maßnahmen der polizeilichen Zusammenarbeit nach Art. 87 Abs. 2 lit. a AEUV, welche vor dem Inkrafttreten des Lissabonner Vertrages als präventive Maßnahmen lediglich dem erweiterten Bereich der Strafverfolgung zuzuordnen waren und im erheblichen Umfang auf der Nutzung von Datenbanken beruhen, gilt der Schutzbereichsausschluss des Art. 8 GRC indes nicht.196 Festzuhalten bleibt somit, dass der Schutzbereich des Art. 8 GRC für den Bereich des polizeilichen Datenaustausches zum Zwecke der Verhinderung von Straftaten eröffnet bleibt und die Mitgliedstaaten somit an das Grundrecht zum Schutz personenbezogener Daten gebunden sind. b) Schrankenregelungen des Art. 8 GRC Jeder Eingriff in Art. 8 Abs. 1 GRC bedarf einer Rechtfertigung. Als eines der wenigen Charta-Grundrechte beinhaltet Art. 8 Abs. 2 GRC gesondert geregelte qualifizierte Schrankenregelungen, welche die in Art. 52 GRC enthaltenen allgemeinen horizontalen Schrankenregelungen qualifizieren beziehungsweise ergänzen.197 aa) Besondere Schrankenregelung des Art. 8 GRC Entsprechend Art. 8 Abs. 2 S. 1 GRC dürfen Daten „nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf sonstigen gesetzlich legitimen Grundlagen verarbeitet werden“. Hierdurch findet der Gedanke der Zweckbindung von Daten – als wohl bedeutendste Schrankenregelung des Datenschutzrechtes – ausdrückliche Erwähnung. Ursprünglich dem Sekundärrecht entnommen, soll durch das Zweckbindungsprinzip die Verarbeitung von Daten auf einen zuvor festzulegenden Zweck eingeschränkt werden, sodass eine spätere sog. Umwidmung der erhobenen Daten erschwert ist.198 Die aufgrund des Art. 8 GRC erlassenen Sekundärrechtsakte müssen insofern einen spezifischen Verwendungszweck der Daten festlegen. Hierbei muss zum einen der verfolgte Zweck ein rechtmäßiger sein und weiterhin im Sinne des Bestimmtheitsgebotes199 bzw. der Vorhersehbarkeit200 eindeutig festgelegt und dem Betroffenen mitgeteilt werden.201 Zweifel, für welche Zwecke 194 Borowsky, in: Meyer, GRCh (2011), Art. 51 GRC, Rdn. 11; Hatje, in: Schwarze et al., EUKommentar (2012), Art. 51 GRC, Rdn. 2; Mock et al., Human Rights (2010), S. 315. 195 Frenz, Europ. Grundfreiheiten (2009), Rdn. 1376 f. 196 So auch Frenz, Europ. Grundfreiheiten (2009), Rdn. 1378. 197 Schorkopf, in: Ehlers, EuGR (2009), § 16.1, Rdn. 47; Kühling/Seidel/Sivridis, DSR (2011), S. 18. 198 Britz, EuGRZ 2009, S. 10; Bernsdorff, in: Meyer, GRCh (2011), Art. 8 GRC, Rdn. 21. 199 GA Kokott, Schlussantrag Rs. C-275/06, Promusicae, Slg. 2008, I-271, Rdn. 53; Harings/ Classen, EuZW 2008, S. 297. 200 EuGH, Rs. C-465/00, C-138/01 und C-139/01, Österreichischer Rundfunk u. a., Slg. 2003, I-4989 Rdn. 77; und EGMR, DÖV 2009, S. 209, Rdn. 99, S. und Marper vs. Vereinigtes Königreich. 201 Sobotta, in: Grabitz/Hilf/Nettesheim, Recht der EU (2010), Art. 16 AEUV, Rdn. 43.
A. Grundlegung des europäischen Informationsaustausches
45
die Daten verwendet werden sollen, müssen ausgeschlossen werden.202 Nicht zuletzt soll es dem Betroffenen bereits schon im Vorfeld bestimmter Maßnahmen ermöglicht werden, sein Verhalten entsprechend auszurichten. Insbesondere bei Errichtung von Datenbanken sind die Zugriffsmöglichkeiten aus Anlass einer nicht näher spezifizierten und somit allgemeinen Kriminalitätsbegrenzung insofern begrenzt, als der Verweis auf dieses allgemeine Ziel nicht die Voraussetzungen des Zweckbindungsprinzips erfüllen kann.203 Vielmehr ist zu fordern, dass zum Zwecke der Kriminalitätsbegrenzung eine Auflistung der zu bekämpfenden bzw. zu verhütenden Straftaten, z. B. in Form eines konkretisierten Straftatenkataloges, vorzunehmen ist.204 Sollen Verarbeitungszwecke nachträglich abgeändert werden, so ist dies nur im Falle der Vereinbarkeit mit der ursprünglichen Zweckbestimmung rechtmäßig.205 Der Zweckbindungsgrundsatz des Art. 8 Abs. 2 GRC kann insofern als Ausformung der zentralen Rechtsfigur des Grundsatzes der Verhältnismäßigkeit verstanden werden206 , durch welche ein sachgerechter Ausgleich der Rechts- und Schutzgüter erreicht werden soll.207 Jede Eingriffsmaßnahme muss hiernach geeignet, erforderlich und angemessen sein, um das legitime Ziel – hier die Schaffung des Raumes der Freiheit, der Sicherheit und des Rechts – zu erreichen. Eine Einschränkung ist dann geeignet, wenn das durch sie angestrebte Ziel tatsächlich erreicht werden kann. Dies bedeutet, dass ihr Beitrag zur Strafverfolgung deutlich aufgezeigt werden muss. Im Rahmen der Erforderlichkeit ist hingegen entscheidend, dass kein milderes Mittel, also keine weniger eingreifende Maßnahme, zur Verfügung steht, mit welchem der angestrebte Zweck ebenso erreicht werden könnte.208 Grundsätzlich ist daher vor Erlass neuer Rechtsakte im Rahmen der Erforderlichkeitsprüfung eine Evaluation der bereits bestehenden rechtlichen Maßnahmen vorzunehmen, welche die Verarbeitung von Daten erlauben. Nur dann wenn diese Maßnahmen nicht ausreichend oder ihre Umsetzung und die Folgemaßnahmen nicht effektiv sind209 , kann eine Neuregelung in Betracht gezogen werden. Darüber hinausgehend werden spezifische Ausformungen der Erforderlichkeitsprüfung im Bereich des Datenschutzrechtes durch die Datenschutzprinzipien der Datenvermeidung und Datensparsamkeit vorgenommen.210 Hiernach dürfen insbesondere nur so viel personenbezogene Daten erhoben bzw. verarbeitet werden, wie für die konkrete Aufgabenerfüllung durch die Behörden unbedingt notwendig sind. Sobald Daten für den ver-
202 Frenz, Europ. Grundfreiheiten (2009), Rdn. 1433; Johlen, in: Tettinger/Stern, Kölner Kommentar GrCH (2006), Art. 8 GRC, Rdn. 45. 203 Zu den sich hieraus ergebenden Problemen in Bezug auf die Richtlinie zur Vorratsdatenspeicherung und der fehlenden Konturierung durch das Urteil des EuGH, Rs. C-301/06- EuGRZ 2009, S. 17 vgl. Bernsdorff, in: Meyer, GRCh (2011), Art. 8 GRC, Rdn. 23a, 23b. 204 Frenz, Europ. Grundfreiheiten (2009), Rdn. 1433. 205 Johlen, in: Tettinger/Stern, Kölner Kommentar GrCH (2006), Art. 8 GRC, Rdn. 46. 206 Borowsky, in: Meyer, GRCh (2011), Art. 52 GRC, Rdn. 15a. 207 Borowsky, in: Meyer, GRC (2010), Art. 53 GRC, Rdn. 22b. 208 Becker, in: Schwarze et al., EU-Kommentar (2012), Art. 52 GRC, Rdn. 6. 209 Vgl. Gemeinsamer Standpunkt der Europäischen Datenschutzkonferenz über die Anwendung des Verfügbarkeitsprinzips bei der Strafverfolgung, Larnaka (Zypern) v. 11. 05. 2007, S. 10. 210 Sobotta, in: Grabitz/Hilf/Nettesheim, Recht der EU (2011), Art. 16 AEUV, Rdn. 8; Kingreen, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 8 GRC, Rdn. 15.
46
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
folgten Zweck nicht mehr benötigt werden, sind diese unverzüglich zu löschen.211 Ferner ist vor allem i. R. der sicherheits- und polizeirechtlichen Datenverarbeitung der Vorrang der unmittelbaren vor der mittelbaren Datenerhebung und der Vorrang der offenen vor der verdeckten Datenerhebung zu beachten. Erstgenannter Grundsatz fordert, dass Daten primär beim Betroffenen selbst zu erheben sind und nur dann, wenn dies nicht möglich ist, eine Datenerhebung bei Dritten erfolgen darf.212 Zweitgenannter Grundsatz fordert, dass die Datenerhebung grundsätzlich in Kenntnis des Betroffenen zu erfolgen hat und nur bei entgegenstehenden überwiegenden Interessen, z. B. zu Strafverfolgungszwecken, verdeckt erfolgen darf.213 Insbesondere ist die Einhaltung dieser Konkretisierungen notwendig, um dem Auskunftsrecht des Art. 8 Abs. 2 S. 2 GRC und den sich unter Umständen ergebenden Rechtsschutzbedürfnissen des Betroffenen Geltung zu verschaffen. Schließlich muss eine Einschränkung angemessen sein, d. h. es muss eine Abwägung vorgenommen werden214 , bei welcher Kosten (Eingriff in das Grundrecht) und Nutzen für die Strafverfolgung in einem Gleichgewicht zueinander stehen. Insbesondere sind bei der Erhebung und Verarbeitung personenbezogener Daten die Datenzahl und die Dauer deren Speicherung im Verhältnis zu dem hierzu begründeten Nutzen für die Strafverfolgung zu berücksichtigen.215 Jeder Eingriff in Art. 8 Abs. 1 GRC erfordert zudem eine gesetzlich geregelte legitime Grundlage.216 Hierbei ist es nicht erforderlich, dass im Detail beschrieben sein muss, welche jeweiligen Voraussetzungen ein Eingriff zu erfüllen hat.217 Wesentlich ist jedoch, dass es dem Betroffenen grundsätzlich erkennbar sein muss, dass eine Einschränkbarkeit des Grundrechtes möglich ist. Die gesetzliche Grundlage muss insofern hinreichend bestimmt sein218 und die jeweiligen Zwecke, zu welchen Einschränkungen erfolgen dürfen, festlegen (Zweckbindungsgrundsatz). Gesetzliche Grundlagen können sich aus dem Unionsrecht selbst219 oder aber aus nationalen Rechtsvorschriften220 ergeben. Hierbei wird ein materieller Gesetzesbegriff zugrunde gelegt.221 bb) Schrankensystematik des Art. 52 GRC Neben den besonderen Schrankenregelungen des Art. 8 GRC sind zusätzlich die Schrankenregelungen des Art. 52 GRC zu beachten. In dem Bewusstsein, dass neben dem Schutz 211 Sobotta, in: Grabitz/Hilf/Nettesheim, Recht der EU (2011), Art. 16 AEUV, Rdn. 43; EuGH, Rs. C553/07, Rijkeboer, EuZW 2009, S. 546, Rdn. 33, 59, 65. 212 Kingreen, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 8 GRC, Rdn. 15. 213 Kingreen, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 8 GRC, Rdn. 15; Sobotta, in: Grabitz/ Hilf/Nettesheim, Recht der EU (2010), Art. 16 AEUV, Rdn. 47. 214 Becker, in: Schwarze et al., EU-Kommentar (2012), Art. 52 GRC, Rdn. 6. 215 Britz, EuGRZ 2009, S. 10; Kingreen, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 8 GRC, Rdn. 16. 216 Allgemein zum Gesetzesvorbehalt der Grundrechtecharta Fassbender, NVwZ 2010, S. 1049 ff. 217 Becker, in: Schwarze et al., EU-Kommentar (2012), Art. 52 GRC, Rdn. 4. 218 Kingreen, in: Calliess/Ruffert, EUV/EGV (2007), Art. 52 GRC, Rdn. 62. 219 Unproblematisch erfasst sind sämtliche dem ordentlichen Gesetzgebungsverfahren (Art. 289 AEUV) unterworfenen Rechtsakte. Str. hingegen bei Richtlinien und Beschlüssen, vgl. Jarass, in: Jarass, GrCh (2013), Art. 52 GRC, Rdn. 27. 220 Dies jedoch nur dann, wenn eine Bindung der Mitgliedstaaten durch die Charta angenommen wird. Hierzu Jarass, in: Jarass, GrCh (2013), Art. 51 GRC, Rdn. 10 ff. 221 Borowsky, in: Meyer, GRC (2010), Art. 52 GRC, Rdn. 20a.
A. Grundlegung des europäischen Informationsaustausches
47
der Chartarechte weitere grundrechtliche Schutzsphären anderer Ebenen – bspw. durch die EMRK oder aber durch Art. 16 Abs. 1 AEUV – bestehen, enthält Art. 52 GRC mehrere sog. Kollisions- bzw. Transferregelungen, um eine Angleichung bzw. Konvergenz der existenten Schutzniveaus herbeizuführen. So unterscheidet Art. 52 GRC zwischen Rechten, welche in den Verträgen der EU geregelt sind (Abs. 2), und Rechten, die denen der EMRK entsprechen (Abs. 3). Artikel 52 Abs. 1 GRC enthält darüber hinaus zudem eine allgemeine Einschränkungsregel für die in der Charta begründeten Rechte. Das Verhältnis der in Art. 52 GRC enthaltenen Schrankenregelungen zueinander ist ebenso umstritten wie die hieran anknüpfenden Konsequenzen für das Grundrecht des Art. 8 GRC. Im Fortlauf dieser Arbeit gilt es zunächst das Verhältnis der sich jeweils ergebenden horizontalen Schrankenregelungen der Charta herauszuarbeiten. Nach weit verbreiteter Ansicht stellen Art. 52 Abs. 2 und Abs. 3 GRC leges speciales im Verhältnis zu der allgemeinen Schrankenregelung des Art. 52 Abs. 1 GRC dar und verbieten im Falle ihrer Anwendbarkeit einen Rückgriff auf Art. 52 Abs. 1 GRC.222 Artikel 52 Abs. 2 und 3 GRC sind im Vergleich zu Abs. 1, welcher zumindest im Grundsatz auf alle Chartagrundrechte anwendbar ist, vorrangig zu beachten.223 Auch das Verhältnis dieser horizontalen Schranken zu den grundrechtsspezifischen Schranken ist durchaus problematisch und richtet sich maßgeblich nach dem jeweiligen Regelungsgehalt der einzelnen Absätze des Art. 52 GRC. Bezüglich des Art. 52 Abs. 1 GRC ist festzustellen, dass er die Anforderungen der grundrechtsspezifischen Schranken des Art. 8 GRC in sich aufnimmt und konkretisiert. Teilweise wird hierbei vertreten, dass Art. 8 Abs. 2 GRC die Voraussetzungen der Zweckbindung der horizontalen Schrankennorm konkretisiere224 , andere wiederum verstehen Art. 8 Abs. 2 GRC als Ausformung der in Art. 52 Abs. 1 GRC enthaltenen Verhältnismäßigkeitsprüfung, welche des Ergebnis der Verhältnismäßigkeitsprüfung im Voraus bereits festlege225 und schließlich wird Art. 8 Abs. 2 S. 1 Hs. 2 GRC als Konkretisierung des allgemeinen Gesetzesvorbehaltes (Art. 52 Abs. 1 S. 1 GRC) verstanden226 . Obwohl all jene Ansätze an unterschiedlicher Stelle anknüpfen, um das Verhältnis der Schrankenregelungen zueinander in ein Verhältnis zu setzen, ist allen Argumentationen gemein, dass im Ergebnis die allgemeine Schrankennorm des Art. 52 Abs. 1 GRC von den grundrechtsspezifischen Schranken des Art. 8 GRC überlagert wird und insofern die sich überschneidenden Bereiche nicht zur An222 Bühler, Einschränkung (2005), S. 262; Schmitz, JZ 2001, S. 838; Frenz, Europ. Grundfreiheiten (2009), Rdn. 544 ff. m.w.N.; Grabenwarter, FS Steinberger (2002), S. 1138 f.; Borowsky, in: Meyer, GRCh (2011), Art. 52 GRC, Rdnr. 13, 18 unter Verweis auf Entstehungsgeschichte und telos; a.A. mit Verweis auf die Systematik des Art. 52 GRC Becker, in: Schwarze et al., EU-Kommentar (2012), Art. 52 GRC, Rdn. 3 und v. Danwitz, in: Tettinger/Stern, Kölner Kommentar GrCH (2006), Art. 52 GRC, Rdn. 30 f. sowie Hilf , HGR VI/1 (2010), § 164, Rdn. 47 und Jarass, in: Jarass, GrCh (2013), Art. 52 GRC, Rdn. 25 m.w.N., welche im Falle eines weitereichenden Schutzkonzeptes der GRC Art. 52 Abs. 1 kumulativ neben Art. 52 Abs. 2, 3 anwenden will. Zur möglicherweise „wahllosen“ Doppelung der Schrankenregelungen im Überschneidungsbereich von Art. 8 GRC und Art. 52 Abs. 1 GRC Veit/Mehde, in: Heselhaus/Nowak, HdbGR (2006), § 21, Rdn. 11; Albers, Grundlagen Verwaltungsrecht (2012), § 22, Rdn. 43; Britz, EuGRZ 2009, S. 9. 223 Streinz/Michl, in: Streinz, EUV/AEUV (2012), Art. 52 GRC, Rdn. 5. 224 Folz, in: Vedder/Heintschel von Heinegg, EUV/AEUV (2012), Art. 8 GRC, Rdn. 7. 225 So z. B. Borowsky, in: Meyer, GRCh (2011), Art. 52 GRC, Rdn. 15a. 226 Kingreen, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 8 GRC, Rdn. 14; Jarass, EUGrundrechte (2005), § 13, Rdn. 8; Kühling/Seidel/Sivridis, DSR (2011), S. 18.
48
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
wendung gelangen. Die jeweilig angenommenen Spezifizierungen des Art. 8 GRC lassen ein Regelungsbedürfnis durch die allgemeine Schrankennorm des Art. 52 Abs. 1 GRC entfallen.227 Die grundrechtsspezifische Schrankenregelung des Art. 8 Abs. 2 GRC ist daher nicht als allgemeine Abkehr von der horizontalen Schrankenregelung des Art. 52 Abs. 1 GRC zu verstehen, sondern dient vielmehr der Rechtsklarheit.228 Diese Wertung gilt jedoch nicht in Bezug auf die horizontalen Schrankenregelungen des Art. 52 Abs. 2 und Abs. 3 GRC. Da diese Normen die Übereinstimmung mit den bestehenden Verträgen und der Europäischen Menschenrechtskonvention gewährleisten sollen und somit über den Regelungsgehalt der grundrechtsspezifischen Schranke des Art. 8 Abs. 2 GRC hinausgehen, können diese im Falle ihrer Anwendbarkeit parallel – also quasi kumulativ – neben den grundrechtsspezifischen Schranken zur Anwendung gelangen.229 Diese Erläuterungen vorausgeschickt, ist der sich für die Schrankenbestimmung des Art. 8 GRC ergebende Prüfungsfortgang prädestiniert: Zunächst ist zu prüfen, ob die Absätze 3 oder 2 des Art. 52 GRC auf das Datenschutzgrundrecht des Art. 8 GRC Anwendung finden. Erst im Falle deren Nichtanwendbarkeit, wäre zu überlegen welche Voraussetzungen des Art. 52 Abs. 1 GRC neben der besonderen Schrankenregelung zur Anwendung gelangen. cc) Art. 52 Abs. 3 S. 1 GRC Bedingt durch den aus der EMRK resultierenden Schutz von personenbezogenen Daten innerhalb des Art. 8 EMRK, könnte zunächst die besondere Schrankenregelung des Art. 52 Abs. 3 S. 1 GRC230 anzuwenden sein. Entsprechend ihrer Funktion als Transferregelung ordnet Art. 53 Abs. 3 S. 1 GRC an, dass diejenigen Charta-Rechte, welche den durch die EMRK garantierten Rechten entsprechen, die gleiche Bedeutung und Tragweite haben, wie sie ihnen nach Maßgabe der EMRK zugestanden wird. Infolgedessen wird nur im Falle der Entsprechung der bestehenden Rechte eine Abstimmung zwischen GRC und EMRK notwendig. Mangels feststehender normativer Kriterien ist die Prüfung der Entsprechung durch Rückgriff auf die bekannten Auslegungsmittel zu bestimmen231 . Unterschiedliche Kriterien können herangezogen werden, um sich der Beantwortung der Frage, ob sich Art. 8 GRC und Art. 8 EMRK im Sinne des Art. 52 Abs. 3 GRC entsprechen, anzunähern.
227 Folz, in: Vedder/Heintschel von Heinegg, EUV/AEUV (2012), Art. 52 GRC, Rdn. 3, 4 GRC; Borowsky, in: Meyer, GRCh (2011), Art. 52 GRC, Rdn. 15; vgl. auch Triantafyllou, CMLR (39) 2002, S. 59, Fn. 10 und Hilf , HGR VI/1 (2010), § 164, Rdn. 43, 57, welche ein Subsidiaritätsverhältnis annehmen. A.A. insofern Kingreen, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 8 GRC, Rdn. 14, welcher eine Sperrwirkung nur für das Erfordernis der gesetzlichen Grundlage des Art. 52 Abs. 1 S. 1 GRC herleitet, Art. 52 Abs. 2 HS. 2 GRC bzgl. des legitimen Zweckes und der Verhältnismäßigkeitsprüfung jedoch dann parallel zu den Schranken des Art. 8 Abs. 2 GRC prüfen will. Bühler, Einschränkung (2005), S. 262 will hingegen Art. 52 Abs. 1 GRC additiv neben Art. 8 Abs. 2 GRC anwenden. 228 Hilf , HGR VI/1 (2010), § 164, Rdn. 58. 229 Hilf , HGR VI/1 (2010), § 164, Rdn. 43. 230 Speziell zu Art. 52 Abs. 3 GRC siehe nur Ziegenhorn, Einfluss EMRK (2009). 231 Eine ausführliche Darstellung der vertretenen Auslegungskriterien zur Feststellung einer Entsprechung gem. Art. 52 Abs. 3 S. 1 GRC findet sich bei Schneiders, Grundrechte (2010), S. 155 ff.
A. Grundlegung des europäischen Informationsaustausches
49
Möglich ist zunächst der Rückgriff auf einen Wortlautvergleich beider Normen: So dient Art. 8 EMRK vornehmlich dem Schutz der Privatsphäre im Allgemeinen und enthält keine datenschutzspezifischen Regelungen.232 Der Datenschutz der EMRK sei vielmehr von durch die Rechtsprechung des EGMR richterrechtlich als Teilaspekt des Rechtes auf Achtung des Privat- und Familienlebens (Art. 8 EMRK) hergeleitet worden233 und ließe sich daher eben nicht unmittelbar aus dem Wortlaut ableiten. Artikel 53 Abs. 3 S. 1 GRC verweise allein auf die Bestimmungen der Konvention, welcher den geschriebenen Text der Konvention samt Zusatzprotokolle meint, nicht hingegen aber die Rechtsprechung des EGMR.234 Ein solcher Ansatz verkennt jedoch, dass eine Identität der Wortlaute der GRC und der EMRK für das Vorliegen eines Entsprechens nicht erforderlich ist, wurden doch die Chartagrundrechte der Übersichtlichkeit wegen vereinfacht formuliert, ohne hierdurch eine Abkehr von den Menschenrechten der EMRK zum Ausdruck bringen zu wollen.235 Der bloße Wortlautvergleich der Normen scheidet somit als Anknüpfungspunkt des Entsprechens beider Rechte von Beginn an aus. Die Nichtanwendbarkeit des Art. 52 Abs. 3 S. 1 GRC wird von einem Teil der Literatur durch den Vergleich der Schutzbereiche der betroffenen Rechte begründet.236 Maßgebend für eine Entsprechung sei, dass die im Raume stehenden Rechte – und hierbei sei im Gegensatz zu der ersten Ansicht auch die Rechtsprechung des EGMR zu berücksichtigen – im Wesentlichen denselben Regelungsbereich haben, also identische Rechte und Rechtsgüter schützen.237 Artikel 8 EMRK dient wie bereits dargestellt dem Schutz der Achtung des Privat- und Familienlebens, während Art. 8 GRC ein eigenes Schutzrecht personenbezogener Daten konstituiert. Durch letztgenannte Norm erreicht das Grundrecht auf Datenschutz eine eigene Textstufe, welche zum einen dem Datenschutz eine eigene Stellung im Unionsrecht gibt und zum anderen den konventionsrechtlichen Schutz durch wesentliche Elemente konkretisiert.238 Artikel 8 GRC weist im Vergleich zu Art. 8 EMRK daher einen engeren Schutzbereich auf und besitzt damit verbunden auch eine größere Regelungsdichte.239 Die Vorgaben des Art. 8 EMRK können folglich nur ein Mindestmaß des unionsrechtlichen Datenschutzes begründen. Über jenes kann Art. 8 GRC jedoch hinaus gehen.240 Artikel 8 GRC findet insofern nur punktuell eine Entsprechung in der EMRK bzw. der Rechtsprechung des EGMR.241 Diese Teilentsprechung genügt indes jedoch nicht, um eine „Entsprechung“ im Sinne des Art. 52 Abs. 3 GRC anzunehmen.242 232
Kingreen, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 8 GRC, Rdn. 4. EGMR v. 26.03.1987, Nr. 9248/81, Leander vs. Schweden; EGMR v. 16.02.2000, Nr. 27798/95, Amann vs. Schweiz; EGMR, Urt. der Großen Kammer v. 04.05.2000, Nr. 28341/95, Rotaru vs. Rumänien. 234 Grabenwarter, in: Grabenwarter, FS Steinberger (2002), S. 1136; Lemmens, MJ (8) 2001, S. 54; Schmitz, JZ 2001, S. 842. 235 Hilf , HGR VI/1 (2010), § 164, Rdn. 75. 236 v. Danwitz, in: Tettinger/Stern, Kölner Kommentar GrCH (2006), Art. 52 GRC, Rdn. 53; Schneiders, Grundrechte (2010), S. 159. 237 Hilf , HGR VI/1 (2010), § 164, Rdn. 75. 238 Sobotta, in: Grabitz/Hilf/Nettesheim, Recht der EU (2011), Art. 16 AEUV, Rdn. 5. 239 Sobotta, in: Grabitz/Hilf/Nettesheim, Recht der EU (2011), Art. 16 AEUV, Rdn. 5. 240 Sobotta, in: Grabitz/Hilf/Nettesheim, Recht der EU (2011), Art. 16 AEUV, Rdn. 5. 241 Hilf , HGR VI/1 (2010), § 164, Rdn. 75. 242 So auch Siemen, Datenschutz (2006), S. 285; Kingreen, in: Calliess/Ruffert, EUV/EGV (2007), Art. 8 GRC, Rdn. 5; Barriga, Entstehung Charta (2003), S. 166; Eisner, Schrankenregelung (2005), S. 123 f. 233
50
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
Als Kriterium zur Feststellung eines Entsprechens wird teilweise jedoch auch auf die Gesetzgebungsmaterialen, insb. auf die Erläuterungen des Konvents, zurückgegriffen.243 So sei Art. 8 GRC nicht Gegenstand der vom Grundrechtekonvent für Art. 52 Abs. 3 GRC aufgestellten Grundrechtslisten.244 Dies sei auch den Erläuterungen des Präsidiums des Konvents entnehmbar, wonach das Recht auf Datenschutz (Art. 8 GRC) lediglich auf Art. 8 EMRK „gestützt“ sei und folglich nicht von einem Entsprechen auszugehen sei.245 Unabhängig von dem Anknüpfungskriterium für ein Entsprechen der Charta- und der EMRK-Rechte lässt sich zusammenfassend bemerken, dass in Bezug auf das Verhältnis zwischen Art. 8 GRC und Art. 8 EMRK nicht von einem Entsprechen i. S. d. Art. 52 Abs. 3 S. 1 GRC ausgegangen werden kann.246 dd) Art. 52 Abs. 2 GRC Seit Inkrafttreten des Lissabonner Vertrages hat das Grundrecht auf Schutz personenbezogener Daten primärrechtlich in Art. 16 AEUV erstmalig Erwähnung erfahren. Aufgrund der im Wortlaut vollständig übereinstimmenden Formulierung der Art. 16 Abs. 1 AEUV und Art. 8 GRC weisen beide Rechte einen identischen Schutzbereich auf247 , sodass es zu einer „Verdopplung“248 des Datenschutzgrundrechtes kommt. An der Sinnhaftigkeit einer solchen Dopplung kann zu Recht gezweifelt werden249 , ist mit ihr zudem auch unweigerlich die Frage aufgeworfen, ob die Schrankenregel des Art. 52 Abs. 2 GRC anzuwenden ist. Artikel 52 Abs. 2 GRC ordnet insofern – einer „Rechtsgrundverweisung“250 gleich – an, dass die Ausübung des durch die Charta anerkannten Rechts auf Schutz personenbezogener Daten, welches zugleich primärrechtlich in Art. 16 Abs. 1 AEUV begründet ist, im Rahmen der im AEUV festgelegten Bedingungen und Grenzen zu erfolgen hat. Seine Wirkweise erstreckt sich somit sowohl auf die Übernahme des Schutzbereichsgehaltes („Bedingungen“) als auch auf die Übernahme der Schrankenregelungen („Grenzen“) des verwiesenen Rechtes, weshalb der überwiegende Teil der Literatur Art. 52 Abs. 2 GRC als Transferklausel251 versteht. Im vorliegenden Falle würden insofern die Gehalte des Art. 16 AEUV in das Chartarecht des Art. 8 GRC hineinzulesen sein. Auf diesem Wege erlangen die Vertragsregelungen im Rahmen der Charta Beachtlichkeit.
243 Für eine Feststellung der Entsprechung anhand der Erläuterungen Borowsky, in: Meyer, GRC (2010), Art. 52 GRC, Rdn. 31. 244 Kingreen, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 8 GRC, Rdn. 4. 245 Bernsdorff/Borowsky, Charta (2002), S. 21. 246 Siemen, Datenschutz (2006), S. 285, Fn. 5 m. w. N.; Grabenwarter, FS Steinberger (2002), S. 1136; Britz, EuGRZ 2009, S. 3; Bühler, Einschränkung (2005), S. 336 f. A. A. hingegen Schneiders, Grundrechte (2010), S. 228; Pietsch, Schrankenregime (2006), S. 133; Frenz, Europ. Grundfreiheiten (2009), Rdn. 1427 ff., welche unter Verweis auf die Anlehnung an Art. 8 EMRK Art. 53 Abs. 3 GRC anwenden wollen. 247 So auch Kingreen, in: Calliess/Ruffert, EUV/EGV (2007), Art. 8 GRC, Rdn. 4. 248 Bernsdorff, in: Meyer, GRCh (2011), Art. 8 GRC, Rdn. 17. 249 Kingreen, in: Calliess/Ruffert, Verfassung der EU (2006), Art. I-51, Rdn. 7. 250 Herrmann, in: Streinz, EUV/AEUV (2012), Art. 52 GRC, Rdn. 4, 13. 251 v. Danwitz, in: Tettinger/Stern, Kölner Kommentar GrCH (2006), Art. 52 GRC, Rdn. 49; Jarass, in: Jarass, GrCh (2013), Art. 52 GRC, Rdn. 58.
A. Grundlegung des europäischen Informationsaustausches
51
(1) Konsequenzen der Annahme einer unbeschränkten Geltung des Art. 16 Abs. 1 AEUV Wie bereits dargestellt, ergibt sich jedoch die Besonderheit, dass der Gesetzgeber innerhalb des Art. 16 Abs. 1 AEUV – anders als in Art. 8 GRC – auf das Nennen präziser Schrankenregelungen verzichtet hat.252 Unterstellt man, dass das Grundrecht des Art. 16 Abs. 1 AEUV daher einen schrankenlosen Geltungsanspruch besitzt, würden bei direkter Anwendung des Art. 52 Abs. 2 GRC die Regelungen in den Verträgen als leges specialis die Vorschriften der Charta vollständig verdrängen.253 Für die konkrete Anwendung auf das Verhältnis von Art. 16 AEUV und Art. 8 GRC würde dies bei Annahme einer schrankenlosen Geltung des Art. 16 Abs. 1 AEUV bedeuten, dass die durch Art. 8 Abs. 2 GRC aufgestellten Schrankenbestimmungen entfallen würden. Konsequenz wäre somit das „Leerlaufen“254 der Schrankenregelungen des Art. 8 Abs. 2 GRC und ein durch Art. 16 Abs. 1 AEUV bedingter (vermeintlich) unbeschränkter Schutz des Rechts auf Schutz personenbezogener Daten. Um dieses Ergebnis zu verhindern, wird die Anwendung des Art. 52 Abs. 2 AEUV von all jenen Vertretern, welche eine schrankenlose Geltung des Art. 16 Abs. 1 AEUV annehmen, vollständig abgelehnt und auf die Anwendung des allgemeinen Schrankenvorbehaltes des Art. 52 Abs. 1 GRC verwiesen.255 Artikel 8 GRC (i. V. m. Art. 52 Abs. 1 GRC) wäre somit die einzige Rechtsquelle der Grundrechtsprüfung.256 Dogmatische Begründungsansätze für die Nichtanwendung von Art. 52 Abs. 2 GRC werden für dieses Ergebnis kaum vorgebracht. Dies legt die Vermutung nahe, dass der Entschluss, Art. 52 Abs. 2 GRC für das Verhältnis von Art. 16 AEUV und Art. 8 GRC nicht anwendbar zu erklären, vornehmlich zweckmäßig erfolgt, um eine befürchtete Aushebelung der Schranken des Art. 8 GRC zu vermeiden. Diese ergebnisorientierte Entscheidung wird durch einen genaueren Blick auf die von der Literatur hervorgebrachten Argumentationsgänge umso deutlicher. Teilweise wird die Ablehnung des Art. 52 Abs. 2 GRC mit einem Verweis auf den Telos der Norm begründet: So wäre die Zweckrichtung des Art. 52 Abs. 2 GRC darin zu sehen, dass die Grundrechtskonvente im Zeitpunkt der Erarbeitung der Charta darum bemüht gewesen seien, sicherzustellen, dass subjektive Rechte, die bereits vor dem Inkrafttreten der Grundrechtscharta in den Gründungsverträgen enthalten waren, nicht durch die (zeitlich nachfolgende) Charta relativiert werden.257 Das Vermeiden eines divergierenden Grundrechtsschutzes zwischen Charta und den Verträgen soll durch ein Zurücktreten der Chartarechte vermieden werden.258 Nach Ansicht von Jarass würde dies für das Verhältnis des 252 Insbesondere kann Art. 16 Abs. 2 AEUV nicht als Schrankenregelung verstanden werden, da er seinem Regelungsgehalt nach lediglich eine Gesetzgebungskompetenz der Union zum Erlass datenschutzrechtlicher Sekundärrechtsakte begründet. 253 So Kingreen, in: Calliess/Ruffert, EUV/EGV (2007), Art. 52 GRC, Rdn. 8. 254 Diese Befürchtung haben Britz, EuGRZ 2009, S. 2; Kühling/Seidel/Sivridis, DSR (2011), S. 19. 255 So auch Britz, EuGRZ 2009, S. 2; Kingreen, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 8 GRC, Rdn. 3; Kühling/Seidel/Sivridis, Datenschutzrecht (2008), S. 46. 256 Kühling/Seidel/Sivridis, DSR (2011), S. 19; Bernsdorff, in: Meyer, GRCh (2011), Art. 8 GRC, Rdn. 17. 257 So jedenfalls Kingreen, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 8 GRC, Rdn. 3. 258 v. Danwitz, in: Tettinger/Stern, Kölner Kommentar GrCH (2006), Art. 52 GRC, Rdn. 49.
52
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
(vermeintlich schrankenlos geltenden) Art. 16 Abs. 1 AEUV und Art. 8 GRC jedoch zu weit gehen.259 Normen, welche wie Art. 16 Abs. 1 AEUV erst mit dem Lissabonner Vertrag wirksam wurden, würden somit schon nicht von dem Anwendungsbereich des Art. 52 Abs. 2 GRC erfasst, es fehle hier gerade an dem Merkmal des „Begründetseins“.260 Dieser Argumentation ist mit der Wortlautänderung des Art. 52 Abs. 2 GRC nunmehr der Anknüpfungspunkt entzogen worden. Zwar stellte der alte Wortlaut der Norm noch auf ein „Begründetsein“ von Rechten ab, der nunmehr reformierte Wortlaut des Art. 52 Abs. 2 GRC spricht hingegen von „Rechten, welche in den Verträgen geregelt sind“. Auf den gesetzgeberischen Entstehungszeitpunkt der sich gegenüberstehenden Rechte und den hiermit verbundenen Verweis auf den Normzweck des Art. 52 Abs. 2 GRC kann es insofern nicht mehr ankommen. Auch eine Bezugnahme auf die Normgeschichte der Art. 8 GRC und Art. 16 AEUV führt nicht zu einer Ablehnung der Schranken des Art. 52 Abs. 2 GRC. So ist entsprechend den Ausführungen von Frenz zu sehen, dass Art. 8 GRC seinen Ursprung in exArt. 286 EGV und der Datenschutzrichtlinie 95/46/EG hat; nur sekundär wäre vom Gesetzgeber auf die Europaratskonvention und die Rechtsprechung des EGMR zu Art. 8 EMRK verwiesen worden.261 Sowohl ex-Art. 286 EGV als auch dessen Nachfolgevorschrift des Art. 16 Abs. 1 AEUV würden insofern auf eben denselben Grundlagen beruhen. Somit könne von einer „Begründung“ des Art. 8 GRC durch Art. 16 Abs. 1 AEUV nicht gesprochen werden. Die Anwendbarkeit des Art. 52 Abs. 2 GRC auf Art. 8 GRC wurde von Seiten der Literatur maßgeblich mit der Begründung abgelehnt, dass das Datenschutzrecht vor Lissabon (und somit vor Art. 16 Abs. 1 AEUV) durch den in ex-Art. 286 Abs. 1 EGV enthaltenen Verweis auf Sekundärrechtsnormen gestützt und somit der DatenschutzRL 65/46/EG sowie der Datenschutzverordnung EG Nr. 45/2001 „entnommen“ worden war. Bedenkt man, dass durch Art. 52 Abs. 2 GRC nur subjektive Rechte erfasst werden, die auf der Ebene von primären Unionsrecht bestehen und selbst unmittelbare Wirkung gegenüber der Union und der Mitgliedstaaten entfalten,262 musste nach Maßgabe der alten Rechtslage unweigerlich eine Ablehnung der Anwendbarkeit des Art. 52 Abs. 2 GRC erfolgen. ExArt. 286 EGV enthielt als bloße dynamisch-verweisende Norm263 keinen eigenen Regelungsgehalt; ein individualschützender Charakter konnte nur den Sekundärrechtsnormen entnommen werden, sodass es bereits an einer Begründung der Rechte „in den Verträgen“ ermangelte. Folglich war der Rückgriff auf die allgemeine Schrankenregelung des Art. 52 Abs. 1 GRC eröffnet. Durch die Einfügung des Art. 16 AEUV wurde ein eigenständiges Grundrecht zum Schutz personenbezogener Daten begründet und ex-Art. 286 EGV vollständig ersetzt. Sobald der Gesetzgeber der Union nunmehr nach Inkrafttreten des Lissabonner Vertrages tätig wird, so findet Art. 52 Abs. 2 GRC automatisch Anwendung, da durch die primärrechtliche Rechtsgrundlage des Art. 16 AEUV eine Bindungswirkung
259
Jarass, in: Jarass, GrCh (2013), Art. 52 GRC, Rdn. 58. So Kingreen, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 8 GRC, Rdn. 3. 261 Frenz, Wirkungen und Rechtsschutz (2010), § 5, Rdn. 1360. Zur alten Rechtslage des exArt. 286 EGV vgl. Siemen, Datenschutz (2006), S. 286. 262 Folz, in: Vedder/Heintschel von Heinegg, EUV/AEUV (2012), Art. 52 GRC, Rdn. 5. 263 Hermann/Streinz, in: Streinz, EUV/AEUV (2012), Art. 16 AEUV, Rdn. 8. 260
A. Grundlegung des europäischen Informationsaustausches
53
für die Organe der Union selbst entfaltet wird.264 Artikel 16 AEUV sieht ausdrücklich ein Tätigwerden der Union zur Erleichterung des gewährten Datenschutzrechtes vor. Zudem führte die Aufnahme des Art. 16 AEUV zu einer „Nobilitierung“265 des Datenschutzrechtes. Es ist nunmehr „in den Verträgen geregelt“, sodass Art. 52 Abs. 2 GRC Anwendung zu finden hat.266 Qualitativ besteht zwischen ex-Art. 286 EGV und Art. 16 AEUV insofern ein wesentlicher Unterschied. (2) Anwendung des Art. 52 Abs. 2 GRC Auch wenn Art. 16 Abs. 1 AEUV keine ausdrücklich geregelte Schrankenregelung enthält, so führt dies nach der hier vertretenen Ansicht nicht automatisch zu dessen schrankenloser Geltung. Vielmehr sind die Schranken Art. 8 Abs. 2 GRC und der Datenschutzrichtlinien in die Primärrechtsnorm hineinzulesen. Artikel 16 Abs. 1 AEUV gewährleistet den Schutz personenbezogener Daten somit nicht effektiver als Art. 8 Abs. 1 GRC267 , sondern weist ein identisches Schutzniveau auf. Die Frage nach einem Schrankentransfer im engeren Sinne – also dem Transfer von in den Verträgen divergierenden Schranken in ein Chartarecht – stellt sich aufgrund der Identität der anzuwendenden Schranken von Art. 8 GRC und Art. 16 AEUV daher nicht. Von einem „Leerlaufen“ der Schranken des Art. 8 GRC kann gerade nicht gesprochen werden; vielmehr besteht ein „Parallelverlauf“ der Schranken. Die Behauptung des Leerlaufens der Intension der Transferwirkung des Art. 52 Abs. 2 GRC – also dass die Charta nicht die bereits bestehenden Rechte der Verträge entwerten sollte – ist somit nur bei Annahme einer schrankenlosen Geltung eines in den Verträgen geregelten Rechtes begründbar. Artikel 16 AEUV und Art. 8 GRC sind jedoch aufgrund ihres Gleichlaufes nicht die prototypische Anwendungskonstellation des Art. 52 Abs. 2 GRC, sodass all jenen Argumentationsgängen, welche Art. 52 Abs. 2 GRC für das Verhältnis von Art. 16 AEUV und Art. 8 GRC nicht anwenden wollen, jeglicher Boden entzogen ist. Zudem beabsichtigte der europäische Gesetzgeber durch die zusätzliche Verankerung des Datenschutzgrundrechtes in den Verträgen (Art. 16 AEUV) das Recht jedes Einzelnen auf den Schutz seiner personenbezogenen Daten überall innerhalb des EU-Gebietes zu bekräftigen268 . Dass die Schrankenregelung des Art. 8 Abs. 2 GRC durch die Aufnahme des Grundrechts „in die Verträge“ ausgeschlossen werden soll, kann den Gesetzgebungsmaterialien nicht entnommen werden. Art. 52 Abs. 2 GRC wird im Wege einer teleologischen Reduktion somit nur in solchen Konstellation nicht anwendbar sein, in denen die Vertragsregelungen erkennbar einer harmonischen Auslegung der Chartaregelungen entgegenstehen. Dies ist bei Art. 16 AEUV nicht anzunehmen, sodass unproblematisch auf den Gehalt der Vertragsregelungen und den Binnentransfer des Art. 16 Abs. 1 AEUV verwiesen werden kann.269 Durch die Dopplung des Datenschutzrechtes kommen im Rahmen des Art. 16 Abs. 1 AEUV jedoch dieselben Schranken zur Anwen-
264
Folz, in: Vedder/Heintschel von Heinegg, EUV/AEUV (2012), Art. 52 GRC, Rdn. 5. So Borowsky, in: Meyer, GRCh (2011), Art. 52 GRC, Rdn. 25. 266 So Borowsky, in: Meyer, GRCh (2011), Art. 52 GRC, Rdn. 25; Bernsdorff, in: Meyer, GRCh (2011), Art. 8 GRC, Rdn. 17; Hilf , HGR VI/1 (2010), § 164, Rdn. 57. 267 Bernsdorff, in: Meyer, EuR 2011, Art. 8 GRC, Rdn. 17. 268 Zerdick, in: Lenz/Borchardt, EU-Verträge (2010), Art. 16 AEUV, Rdn. 5. 269 A.A. Jarass, in: Jarass, GrCh (2013), Art. 52 GRC, Rdn. 58. 265
54
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
dung, welche in der Charta durch Art. 8 Abs. 2 GRC festgesetzt sind270 . Die Nichtanwendbarkeit des Art. 52 Abs. 2 GRC wäre nur dann begründbar, wenn der horizontale Schrankenvorbehalt des Art. 52 Abs. 2 GRC nicht als Transfer-, sondern – wie von Einzelstimmen der Literatur271 vertreten – als Kollisionsklausel verstanden wird. Eine Kollision, d. h. der Widerspruch zwischen den Verträgen und den Regelungen der Charta, würde hierbei conditio sine qua non der Eröffnung des Anwendungsbereiches des Art. 52 Abs. 2 GRC sein. Nach dem hier vertretenen Ansatz, nach welchem Art. 16 AEUV zum einen nicht unbeschränkt gilt und zum anderen die Schranken des Art. 8 GRC in die Norm hineinzulesen sind, würde es somit bereits an der notwendigen Kollision der Schranken mangeln. Art. 52 Abs. 2 GRC kann somit nicht angewandt werden. Eine Anwendung der allgemeinen horizontalen Schranke des Art. 52 Abs. 1 GRC bleibt jedoch möglich.272 ee) Zwischenergebnis der Schrankenregelungen Durch den Parallelverlauf der Schranken des Art. 16 Abs. 1 AEUV und des Art. 8 GRC, bildet somit die den allgemeinen Schrankenvorbehalt des Art. 52 Abs. 1 GRC spezifizierende grundrechtsspezifische Schrankenregelung des Art. 8 Abs. 2 GRC den alleinigen Prüfungsmaßstab zulässiger Eingriffe in das Recht auf den Schutz personenbezogener Daten. c) Folgeansprüche bei Verarbeitung personenbezogener Daten Jeglicher Schutz grundrechtlicher Positionen ist nur dann möglich, wenn gesichert ist, dass die durch den Informationsaustausch betroffene Person Kenntnis über den Austausch ihrer Daten erhält und in der Folge entsprechendes Einflussrecht geltend machen kann.273 Artikel 8 GRC beinhaltet daher neben seiner abwehrrechtlichen Dimension auch leistungsund gestaltungsrechtliche Elemente. Hierdurch wird eine Datenschutzkonzeption erschaffen, welche den grundrechtlichen Abwehranspruch verfahrensrechtlich umsetzbar macht. aa) Auskunftsanspruch So hat der Grundrechtsträger einen Anspruch darauf, Auskunft zu erhalten, ob und welche ihn betreffende Daten erhoben bzw. gespeichert wurden. Das Auskunftsrecht bildet insofern als positives Recht die notwendige Ergänzung zum Abwehranspruch des Art. 8 Abs. 1 GRC274 und ist im Hinblick auf ein möglicherweise bestehendes Rechtsschutzbedürfnis vollumfassend indem es sich auf den gesamten Inhalt der verfügbaren Daten erstreckt.275 Nur bei zwingenden und sehr gewichtigen Gemeinwohlgründen kann ein 270 In diesem Sinne Sobotta, in: Grabitz/Hilf/Nettesheim, Recht der EU (2011), Art. 16 AEUV, Rdn. 8. 271 Vgl. Becker, in: Schwarze et al., EU-Kommentar (2012), Art. 52 GRC, Rdn. 12; Kingreen, in: Calliess/Ruffert, EUV/AEUV (2011), Art. 52 GRC, Rdn. 3. 272 Dieser Argumentation versperren sich die Anhänger der Kollisionsklausel-Lösung, da sie von einer schrankenlosen Geltung des Art. 16 AEUV ausgehen und die Ablehnung des Art. 52 Abs. 2 GRC aus dem Verweis auf den Entstehungszeitpunkt des Art. 16 AEUV herleiten. 273 Hierzu Albers, in: Albers, Grundlagen Verwaltungsrecht (2012), § 22, Rdn. 68, Fn. 63: „Kenntnis- und Einflussrecht als essentialia eines grundrechtlichen Datenschutzes“. 274 Frenz, Europ. Grundfreiheiten (2009), Rdn. 1392. 275 Jarass, EU-Grundrechte (2005), § 13, Rdn. 13.
A. Grundlegung des europäischen Informationsaustausches
55
Ausschluss des Auskunftsrechtes in Betracht kommen.276 Insbesondere dann, wenn der Betroffene keine Kenntnis von der Verarbeitung der Daten besitzt und sich infolgedessen nicht gegen die Maßnahme zur Wehr setzen kann, erwächst eine datenschutzrechtliche Gefährdungslage. Der Auskunftsanspruch ist insofern antragsunabhängig ausgestaltet; es besteht ein Anspruch auf automatische Auskunft.277 bb) Berichtigungsanspruch Zusätzlich kann der Betroffene im Falle der Unrichtigkeit der Daten – z. B. weil die Daten nicht vorschriftsgemäß verarbeitet wurden oder aufgrund der Unvollständigkeit der Daten ein unrichtiges Bild des Betroffenen entsteht – einen Berichtigungsanspruch geltend machen, in dessen Rahmen die Löschung unzutreffender Daten verlangt werden kann. Der Berichtigungsanspruch schützt zum einen Betroffeneninteressen und sichert zum anderen die Effektivität der Strafverfolgung, welche maßgeblich auf die Qualität der sich in den Datenbanken befindlichen Angaben angewiesen ist. In seinem Kern stellt dieser Berichtigungsanspruch einen Folgenbeseitigungsanspruch dar, welcher die abwehrrechtliche Dimension des Grundrechtes fortsetzt.278 Wird von Seiten der informationsaustauschenden Behörde diesen Folgeansprüchen nicht entsprochen, sei es, dass dem Berichtigungsanspruch zu spät, unzureichend oder aber vollständig nicht entsprochen wird, so kommt diesen Maßnahmen ihrerseits Eingriffsqualität im Sinne der Grundrechtsdogmatik zu.279 Auf organisationsrechtlicher Ebene wird mit Art. 8 Abs. 3 GRC die mitgliedstaatliche Verpflichtung geschaffen, unabhängige Kontrollinstanzen – auf europäischer Ebene also einen Europäischen Datenschutzbeauftragten – zu errichten, welche die Einhaltung der Datenschutzvorschriften überwachen und zugleich als Beratungs- und Beschwerdeinstanz tätig werden.280 Somit kommt den unabhängigen Behörden eine Doppelfunktion zu: Sie wahren Individualinteressen der Datensubjekte und sind zudem auch Ansprechpartner der Mitgliedstaaten bzgl. etwaiger Strukturen und Schranken der Datenverarbeitung.281 Das Unabhängigkeitserfordernis der Datenschutzbehörden soll jegliche mittelbare oder unmittelbare Einflussnahme von staatlicher Seite ausschließen.282
276
Jarass, EU-Grundrechte (2005), § 13, Rdn. 13. Grabitz/Hilf/Nettesheim, Recht der EU (2010), Rdn. 1399; Mehde, in: Heselhaus/Nowak, HdbGR (2006), § 21, Rdn. 26. 278 Mehde, in: Heselhaus/Nowak, HdbGR (2006), § 21, Rdn. 27; Frenz, Europ. Grundfreiheiten (2009), Rdn. 1402. 279 Frenz, Europ. Grundfreiheiten (2009), Rdn. 1413 f. 280 Diese Verpflichtung findet sich nahezu wortgleich in Art. 16 Abs. 2 UAbs. 1 S. 2 AEUV, jedoch mit dem Unterschied, dass von seinem Wortlaut her zugleich auch Kontrollstellen der Mitgliedstaaten („unabhängige Behörden“) erfasst werden. 281 Sobotta, in: Grabitz/Hilf/Nettesheim, Recht der EU (2010), Art. 16 AEUV, Rdn. 12. 282 EuGH, Rs. C-518/07, Kommission vs. Deutschland, NJW 2010, S. 1265; Sobotta, in: Grabitz/ Hilf/Nettesheim, Recht der EU (2010), Art. 16 AEUV, Rdn. 52. 277
56
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
5. Fehlende rechtliche Überprüfbarkeit durch den EuGH Festzustellen ist somit, dass auf europäischer Ebene ein aus mehreren Ebenen bestehendes und in sich verschränktes System zum Schutze personenbezogener Daten existiert. Jedoch darf nicht übersehen werden, dass all jene europäischen Datenschutzregelungen eine schwerwiegende Schwäche aufweisen: Eine gerichtliche Überprüfung der Rechtmäßigkeit des Handelns der Mitgliedstaaten, welche grenzüberschreitend Informationen austauschen, durch den EuGH ist nicht möglich. Artikel 276 AEUV283 bestimmt, dass der EuGH nicht zuständig ist für die Überprüfung der Gültigkeit oder Verhältnismäßigkeit von Maßnahmen der Polizei oder anderer Strafverfolgungsbehörden der Mitgliedstaaten oder der Wahrnehmung der Zuständigkeiten der Mitgliedstaaten für die Aufrechterhaltung der öffentlichen Ordnung und den Schutz der inneren Sicherheit. In der Konsequenz ist dem durch den grenzüberschreitenden Informationsaustausch Betroffenen somit lediglich der Weg zu den nationalen Gerichten eröffnet, welche im Rahmen ihrer ausschließlichen Zuständigkeit die Einhaltung datenschützender Vorschriften zu sichern haben. Prüfungsmaßstab des nationalen Gerichts kann hierbei lediglich das nationale, u.U. EU-Recht umsetzende Recht sein, welches dann europarechtskonform auszulegen ist. Dass bei einem Nebeneinander von 27 Rechtssystemen eine einheitliche Auslegung europäischer Datenschutzregelungen nicht zu erwarten ist, sondern vielmehr eine Fragmentierung des europäischen Grundrechts des Schutzes personenbezogener Daten eintritt, versteht sich von selbst. Die Berücksichtigung der europäischen Datenschutzregelungen durch nationale Gerichte kann insofern nur bedingt ein kohärentes europäisches Datenschutzkonzept mit effektiven gerichtlichen Kontrollmöglichkeiten schaffen.
B. Praxisprobleme des Austausches strafverfolgungsrelevanter Informationen Die fortschreitende Erweiterung des Unionsgebietes und der hiermit verbundene Anstieg grenzüberschreitender Kriminalität begründete ein Bedürfnis der Mitgliedstaaten nach sicherheitssteigernden Maßnahmen. Der technische Fortschritt und die Angst vor sog. „global threats“ im Bereich der Sicherheit haben sowohl zu einer Ausbreitung von Kontrollsystemen, als auch zu einem transnationalen Informationsaustausch zwischen nationalen Strafverfolgungsbehörden der ganzen Welt geführt.284 Die Anschläge des Jahres 2001 rückten die terroristischen Straftaten in den Fokus der PJZS. Die Bedeutung des Informationsaustausches wuchs sprunghaft, was zu diversen Rechtsetzungsinitiativen führte.285 283
Ex-Art. 35 Abs. 5 EUV. So auch Fletcher/Lööf/Gilmore, EU Criminal Law (2008), S. 92. Sehr bildlich insofern Balzacq et al., Security and the two-level game: The Treaty of Prüm, the EU and the management of threats, S. 13 und Fletcher/Lööf/Gilmore, EU Criminal Law (2008), S. 92: „Die Mitgliedstaaten werden Anwälte der Informationskontrolle und des Informationsaustausches um illegale Migration, organisiertes Verbrechen und internationalen Terrorismus zu bekämpfen.“ 285 Beispielhaft seien an dieser Stelle Initiativen zur Terrorismusbekämpfung genannt: Beschluss des Rates vom 19. 12. 2002 über die Anwendung besonderer Maßnahmen im Bereich der polizeilichen und justitiellen Zusammenarbeit bei der Bekämpfung des Terrorismus, Beschluß 2003/48/JI, 284
B. Praxisprobleme des Informationsaustausches
57
I. Die Begrifflichkeit der „Informationshilfe“ Werden zwischen den Strafverfolgungsbehörden der Mitgliedstaaten Daten oder Informationen ausgetauscht, so findet dies im Rahmen der internationalen Rechtshilfe statt. Grundsätzlich verbietet es das Prinzip der Souveränität den Mitgliedstaaten, durch hoheitliches Handeln unmittelbar im Territorium eines anderen Mitgliedstaates zu agieren. Werden im Rahmen von Präventivmaßnahmen oder aber zum Zwecke der Strafverfolgung dringend Daten und Informationen benötigt, welche sich unter der Verfügungsmacht eines anderen Mitgliedstaates befinden, so wird durch die internationale Rechtshilfe die Möglichkeit geschaffen, mit fremdstaatlichen Behörden zu kooperieren. Die internationale Rechtshilfe in Strafsachen befähigt einen souveränen Staat hoheitliche Gewalt auf seinem Staatsterritorium zur Förderung der hoheitlichen Interessen eines anderen souveränen Staats in strafrechtlichen Angelegenheiten einzusetzen und hat mit Eröffnung des Schengen-Raumes rapide an Bedeutung gewonnen. Gemäß Art. 67 Abs. 3 AEUV (ex-Art. 29 Abs. 2 EUV) kann der Austausch von Informationen in Bezug auf Straftaten innerhalb der EU sowohl präventiven, als auch repressiven Zwecken dienen. Hierbei ist die Aufzählung der Wirkungsrichtung der Maßnahmen rein erläuternder Natur, da innerhalb des Raumes der Freiheit, der Sicherheit und des Rechts von einem integrativen, ganzheitlichen Ansatz von Verhütung und Bekämpfung von Kriminalität auszugehen ist. Bekämpfung und Verhütung bilden somit gerade keine voneinander abgrenzbaren Situationen polizeilichen Handelns, in dessen Rahmen ein Informationsaustausch zulässig ist. Der Verzicht auf die Unterscheidung zwischen präventivem und repressivem Handeln innerhalb der polizeilichen Zusammenarbeit ist insofern irreführend, als dass die finale Wirkrichtung einer Maßnahme das entscheidende Kriterium zur Bestimmung des Rechtshilfebegriffes bildet. Das Verhältnis des Rechtshilfebegriffeszu den Vorschriften der polizeilichen Zusammenarbeit bedarf daher gesonderter Klärung. Innerhalb der Rechtshilfe wird funktional zwischen den Kategorien der polizeilichen und der justiziellen Rechtshilfe unterschieden. Der Zweck der Maßnahme, für den die Rechtshilfe begehrt wird, bildet hierbei das maßgebliche Abgrenzungskriterium. Dient das Rechtshilfeersuchen dem Zwecke der Gefahrenabwehr, verfolgt es präventive Zwecke und fällt regelmäßig – aber nicht zwingend286 – in den Zuständigkeitsbereich der Polizeibehörden. Diese Polizeibehörden können nun sowohl national als auch international Ersuchen stellen, um z. B. Befragungen, Warnungen, Fahndungen nach Vermissten oder Informationen und Daten auszutauschen. Präventive Maßnahmen zur Gefahrenabwehr werden missverständlicherweise als „polizeiliche Rechtshilfe“-Maßnahmen bezeichnet.287 Die sog. polizeiliche Rechtshilfe wird entgegen ihrem Wortlaut nicht als Form der ABl. 2003 Nr. L 16/68 und der Beschluss des Rates vom 20. 9. 2005 über den Informationsaustausch und die Zusammenarbeit betreffend terroristischer Straftaten, Beschluss 2005/671/JI, ABl. 2005 Nr. L 253/22. Hierzu vertiefend Zöller, Terrorismusstrafrecht (2009). 286 Beispielhaft sei nur an die Informationsweitergabe zu präventiven Zwecken durch Eurojust verwiesen gemäß Art. 27 Abs. 6 Eurojust-Beschluss v. 28.02.2002, ABlEU Nr. L 63/1 v. 06.03.2002. 287 Irreführend und entgegen der Rechtshilfeterminologie insofern Böse, Grundsatz der Verfügbarkeit (2007), S. 19, welcher den Begriff der polizeilichen Rechtshilfe als Unterfall der justiziellen Rechtshilfe versteht, bei der eine Polizeibehörde über die Bewilligung des repressiven Rechtshilfeersuchens entscheidet.
58
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
Rechtshilfe im engeren Sinne verstanden. Vielmehr ist mit dem engen Verständnis des Rechtshilfebegriffes davon auszugehen, dass das wesentliche Merkmal der Rechtshilfe ihr repressiver Charakter ist; sie soll gerade nicht präventiv wirkende Maßnahmen erfassen, welche zum Zwecke der Gefahrenabwehr erfolgen, sondern nur zu Strafverfolgungszwecken. Ersuchen, die wie die „polizeiliche Rechtshilfe“ zum Zwecke der Gefahrenabwehr erfolgen, sind – ungeachtet ihrer Bezeichnung als polizeiliche Rechtshilfe – vielmehr als Amtshilfe und nicht als Rechtshilfe einzustufen288 . Bei der in Art. 67 Abs. 3 Alt. 1 AEUV vorgesehenen Möglichkeit der polizeilichen Zusammenarbeit zur Verhütung von Straftaten, handelt es sich somit unter Heranziehung des engen Rechtshilfebegriffes lediglich um Amtshilfemaßnahmen, obgleich sie als polizeiliche Rechtshilfe bezeichnet werden. Das Gegenstück zur polizeilichen Rechtshilfe bildet die sog. justizielle Rechtshilfe. Im Rahmen der justiziellen Rechtshilfe erfolgt ein Ersuchen der staatlichen Behörden hingegen zum Zwecke der Strafverfolgung und dient somit repressiven Zwecken. Auf die im konkreten Fall handelnde Organisationseinheit, in Betracht kommen Justiz- oder aber Polizeibehörden, kommt es für das Vorliegen der justiziellen Rechtshilfe nicht an, da sich der Gesetzgeber bei der Abgrenzung der polizeilichen von der justiziellen Rechtshilfe bewusst gegen ein organisationsbezogenes Verständnis entschieden hat.289 So kann auch ein polizeiliches Informationsersuchen ein Fall der justiziellen Rechtshilfe sein, solange es dem Zweck der Strafverfolgung dient. Die polizeiliche Zusammenarbeit zur Verfolgung von Straftaten (Art. 67 Abs. 3 Alt. 2 AEUV) ist somit Teil der Rechtshilfe in Strafsachen. Der grenzüberschreitende Austausch von Informationen steht im Vordergrund der operativen Zusammenarbeit der Behörden der Mitgliedstaaten im Rahmen der polizeilichen Zusammenarbeit290 und bildet im Rahmen der sog. polizeilichen Rechtshilfe im Vorfeld und bis weit hinein ins Strafverfahren seit langem praktisch eine Form der Amtshilfe.291 Erst dort, wo für die Erlangung der Information Zwangsmaßnahmen erforderlich sind oder die Anklagebehörde das Verfahren bereits übernommen hat, wird der Weg der förmlichen Rechtshilfe erforderlich.292 An dieser Stelle ist jedoch zu beachten, dass innerhalb des RFSR von einem ganzheitlichen Ansatz von präventiven und repressiven Maßnahmen auszugehen ist. Die in einem Teil der Mitgliedstaaten – und auch im Rechtshilferecht – übliche strikte Trennung von Polizei- und Strafprozessrecht wird auf Unionsrechtsebene gerade nicht vorgenommen.293 Konsequenz ist, dass die Unterscheidung zwischen Rechtshilfe auf der einen und Amtshilfe auf der anderen Seite jedenfalls im Bereich des polizeilichen Informationsaustausches keine Relevanz entfalten kann. Die Sinnhaftigkeit einer strikten Trennung der Begrifflichkeiten der Amts- und Rechtshilfe und dem herangezogenen Abgrenzungskriterium – entsprechend dem funktionalen Zweck der jeweiligen Maßnahme zu deren Zweck der Informationsaustausch erfolgte – 288 Vogler, in: Vogler/Wilkitzki, IRG (2011), Vor § 1, Rdn. 156; Mokros, in: Lisken/Denninger, HdPR (2012), Abschnitt O, Rdn. 42; Böse, Grundsatz der Verfügbarkeit (2007), S. 19. 289 Siehe nur § 59 Abs. 2 IRG. Ebenso Böse, Grundsatz der Verfügbarkeit (2007), S. 19. 290 Lachmayer/Bauer, Praxiswörterbuch Europarecht, S. 516. 291 Aden/Busch, in: Roggan/Kutscha, Handbuch Innere Sicherheit (2006), S. 561. 292 Aden/Busch, in: Roggan/Kutscha, Handbuch Innere Sicherheit (2006), S. 561. 293 Vertiefend zu Prävention und Repression als Kategorien des EU-Rechts Gärditz, Alternativentwurf Europol (2008), S. 192 ff.
B. Praxisprobleme des Informationsaustausches
59
muss daher zumindest auf europäischer Rechtsebene bezweifelt werden. Zum einen ist es so, dass diese strikte Trennung zwischen Amts- und Rechtshilfe insbesondere für die deutsche Rechtsordnung typisch ist und nicht innerhalb aller europäischen Rechtsordnungen vorgenommen wird. Strukturell unterschiedliche Aufgabenverteilungen der Strafverfolgungsbehörden innerhalb der Mitgliedstaaten erschweren dies zusätzlich. Zum Anderen sind es dieselben Hindernisse, welche ein zeitnahes Agieren der Behörden bzgl. des Informationsaustausches innerhalb der Amts- oder Rechtshilfe erschweren. Um die obig aufgezeigten terminologischen Unzulänglichkeiten innerhalb der vorliegenden Untersuchung zu vermeiden, gilt es einen europäischen Blickwinkel auf den zwischenstaatlichen Informationsaustausch einzunehmen. Daher wird innerhalb der vorliegenden Untersuchung bewusst auf die Verwendung der Begrifflichkeiten der Amts- und Rechtshilfe verzichtet. Gerade der zwischenstaatliche Informationsaustausch im Rahmen der polizeilichen Zusammenarbeit in Strafsachen kann sowohl präventive als auch repressive Zwecke verfolgen. Ein Festhalten an der althergebrachten Terminologie wäre insofern verfehlt. Im Rahmen der vorliegenden Untersuchung wird, um den jeweiligen Rechtsakten zur Umsetzung des Grundsatzes der Verfügbarkeit und ihren divergierenden zeitlichen Anwendungsbereichen und Zweckbestimmungen gerecht zu werden, ein andersartiger Terminus benötigt, welcher eben nicht die finale Ausrichtung der jeweiligen konkreten behördlichen Maßnahme als Abgrenzungskriterium heranzieht, sondern vielmehr einen europäisierteren Blickwinkel einnimmt. Dementsprechend darf nicht auf die Zielrichtung der konkreten Maßnahme abgestellt werden, sondern es ist die finale Ausrichtung des generellen Zweckes des zwischenstaatlichen Behördenkontakts, welcher herangezogen werden muss. Dieser generelle Zweck besteht – unabhängig ob zu präventiven oder zu repressiven Zwecken erfolgend – in der Informationsbeschaffung einer mitgliedstaatlichen Behörde durch eine andere fremdmitgliedstaatliche Behörde. Innerhalb der vorliegenden Untersuchung wird daher der Terminus der „Informationshilfe“ verwendet. Der Informationshilfe ist immanent, dass sie den Kontakt von mindestens zwei mitgliedstaatlich unterschiedlichen Behörden voraussetzt, bei welchem die ersuchte Behörde eine unterstützende Tätigkeit im Interesse der ersuchenden Behörde wahrnimmt.294 Die Informationshilfe ist insofern als bloße unterstützende Tätigkeit zu verstehen, als dass der Tätigkeit der ersuchten Behörde verglichen mit dem von der ersuchenden Behörde betriebenen Verfahren lediglich ergänzender, untergeordneter Charakter zukommt.295 Ein solcher Terminus kann unproblematisch sämtliche europäischen Rechtsakte zur Verbesserung des Informationsaustausches im Rahmen der polizeilichen Zusammenarbeit erfassen.
II. Hindernisse der effektiven Informationshilfe Im Rahmen des polizeilichen Informationsaustausches kann gesagt werden, dass der Informationsaustausch zwischen den Mitgliedstaaten weitgehend den Regeln über die Rechtshilfe in Strafsachen folgt.296 Dementsprechend treten bei einem grenzüberschreitenden Austausch von Informationen dieselben Problemkreise hervor, welche üblicher294
Vgl. auch Wettner, Amtshilfe (2005). Ohler, in: Ohler, Umsetzung Dienstleistungsrichtlinie (2008), S. 159 m.w.N. 296 Böse, EuZ 2007, S. 62. Die polizeiliche Amtshilfe zur Verhütung von Straftaten erfolgt nach Maßgabe des innerstaatlichen Rechts, vgl. Böse, Grundsatz der Verfügbarkeit (2007), S. 37. Allgemein zur Kritik an der Rechtshilfe Schomburg/Hackner, in: Schomburg et al., Internationale Rechts295
60
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
weise die Informationshilfe behindern. Diese können stichwortartig wie folgt zusammengefasst werden: • • • • • •
Fehlende direkte Zugriffsmöglichkeiten, Ermessensspielraum der Mitgliedstaaten, ob Informationen übermittelt werden, unterschiedliche Zugriffsrechte auf Informationen, mangelnde Kenntnis, welche fremdstaatliche Behörde Informationen innehat, Fehlen eines einheitlichen Verfahrens zur Informationsübermittlung und unzureichender Schutz der Interessen des Betroffenen. 1. Fehlende direkte Zugriffsrechte auf Datenbanken
Bei der Verfolgung schwerer Straftaten ist schnelles, unverzügliches Handeln der beteiligten Behörden unverzichtbar. Hierbei ist es für eine effiziente Verfolgung dringend erforderlich, ohne größere Zeitverzögerung auf alle vorgangsbezogenen Daten zugreifen zu können. Wie bereits ausgeführt, sind hierbei direkte Zugriffsmöglichkeiten auf existierende Datenbestände essentialia negotii für jegliche Aufgabenerfüllung durch die Strafverfolgungsbehörden. Trotz der bestehenden Vielzahl horizontaler Netzwerke gewähren nur wenige den Mitgliedstaaten einen direkten Zugriff auf ihre Datenbestände. Entsprechend dem Grundgedanken der Informationshoheit sind die Mitgliedstaaten mit dem Einräumen eines direkten Zugriffs sehr zurückhaltend. 2. Ermessensspielräume der Mitgliedstaaten Erschwerend tritt hinzu, dass die Weitergabe und Übermittlung der ersuchten Informationen an die informationsersuchende fremdstaatliche Behörde zumeist in das Ermessen der ersuchten Behörde gestellt ist. Der Informationsaustausch innerhalb der EU findet seine Stütze in bilateralen297 und multilateralen Abkommen, welche von den Mitgliedstaaten ratifiziert wurden und somit Geltung beanspruchen. Ziel dieser Initiativen ist es, den zwischenstaatlichen grenzüberschreitenden Informationsfluss zu verbessern und zu beschleunigen. Auch wenn alle Beteiligten das Ziel verfolgen die zwischenstaatliche Strafverfolgung zu beschleunigen, so liegt es im Ermessen der ersuchten Behörde, ob die angeforderten Informationen übermittelt werden.298 Eine ausdrückliche Verpflichtung zur Übermittlung existiert nicht299 ; stattdessen sind die ersuchenden Strafverfolgungsbehörden von der Kooperationsbereitschaft300 der ersuchten Behörden abhängig. hilfe (2012), Vor § 68 IRG, Rdn. 14 ff. Zu den traditionellen Rechtsregeln im Einzelnen Böse, Grundsatz der Verfügbarkeit (2007), S. 21 ff. 297 Beispielhaft seien an dieser Stelle das Abkommen zwischen der Bundesrepublik Deutschland und Tschechien über grenzüberschreitende Zusammenarbeit zwischen Polizei und Grenzbehörden; das Abkommen zwischen Deutschland und Österreich vom 10. November und 19. Dezember 2003 (BGBl. 2005 Teil II, S. 1307); das Abkommen zwischen der BRD und der Republik Polen über den Schutz der Grenzgebiete und das Abkommen zur Zusammenarbeit zwischen dem Ministerium des Inneren der Republik Polen und dem Ministerium des Inneren der Republik Slowakei genannt. 298 Vermeulen et al., Availability (2005), S. 17 bezeichnet diesen Umstand sinnbildlich als „Achillesferse“ aller Initiativen. 299 Zu dem Hindernis des Ermessens vgl. auch KOM (2005) 490 endg., S. 3. 300 Die Kommission spricht insofern bereits von einer Abhängigkeit von dem „guten Willen“ der mitgliedstaatlichen Behörden, KOM (2005) 490 endg., S. 10.
B. Praxisprobleme des Informationsaustausches
61
Eine Umwandlung des Ermessens in eine Verpflichtung setzt eine wesentliche Bedingung voraus: Alle Behörden innerhalb der Mitgliedstaaten müssen einen ähnlichen Maßstab bei der Bearbeitung von Informationsanfragen berücksichtigen, sodass sich Vertrauen in die Rechtmäßigkeit des Handelns der fremden Behörde entwickeln kann. Insbesondere die kulturelle und rechtliche Diversität zwischen den einzelnen Mitgliedstaaten erschwert die Bildung dieses gegenseitigen Vertrauens. Die bilaterale Kooperation einzelner Mitgliedstaaten stellt einen wesentlichen Schritt in Richtung der Begründung gegenseitigen Vertrauens dar. Hierbei darf jedoch nicht übersehen werden, dass die Reichweite derartiger Informationsabkommen auf völkerrechtlicher Ebene immer nur territorial begrenzt zwischen den beteiligten Kooperationspartnern wirken kann. Eine generelle Verpflichtung aller Mitgliedstaaten, verfügbare Informationen zu übermitteln, wird hierdurch gerade nicht begründet. 3. Unterschiedliche Zugriffsrechte auf verfügbare Informationen Der Austausch strafverfolgungsrelevanter Informationen wird regelmäßig durch unterschiedliche Zugriffsrechte erschwert. Während in einigen Mitgliedstaaten polizeilichen Behörden ein selbständiger Zugriff auf relevante Informationen gewährt wird, ist in anderen Mitgliedstaaten ein Zugriff auf die relevanten Informationen nur nach zuvor erteilter richterlicher Genehmigung möglich. In folgender Konstellation kann der Informationsaustausch zu erheblichen Problemen führen301 : Ein ersuchter Mitgliedstaat, in welchem strengere Anforderungen gelten, wird nur in dem Falle einer Informationsweitergabe an einen anderen Mitgliedstaat zustimmen, wenn die angeforderten Informationen nach seinem geltenden Recht den eigenen Polizeibehörden auch selbständig ohne eine zuvorige richterliche Genehmigung zur Verfügung stehen würden. Für die Konstellation, dass ein Mitgliedstaat seinen Polizeibehörden einen großen Ermessensspielraum einräumt, kann dies zu paradoxen Ergebnissen führen302 : Von diesem Staat wird eine große Menge von Informationen gegenüber anderen Mitgliedstaaten bereitgestellt und weitergegeben, während eigene Informationsanfragen an ersuchte Mitgliedstaaten, deren Polizeibehörden nur unter richterlicher Kontrolle Zugriff auf Informationen haben, durch zeitaufwendige rechtliche Prüfungen verzögert werden. Die Kommission forderte daher303 , dass eine Grundlage einer effektiven Zugangsverwaltung geschaffen werden soll, welche ein System zur Verwaltung unterschiedlicher Zugriffsberechtigungen, zum Beispiel europäische Standards für die Berechtigung zum Zugriff auf eingestufte Informationen, ein gemeinsames System von Benutzerprofilen zur Verwaltung der zahlreichen Zugriffsrechte und ein authentifiziertes Verfahren zur Registrierung berechtigter Nutzer (z. B. Benutzerkonten) vorsieht.
301
Zum folgenden Beispiel vgl. Vermeulen et al., Availability (2005), S. 20. Zu diesem Beispiel Vermeulen et al., Availability (2005), S. 20. 303 Vgl. Mitteilung der Kommission an den Rat und das Europäische Parlament, Betreffend den verbesserten Zugang zu Informationen für Strafverfolgungsbehörden, KOM (2004) 429 endg., S. 10. 302
62
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
4. Fehlende Kenntnis über die Existenz von Informationen Als weiteres Hemmnis für den grenzüberschreitenden Informationsaustausch erweist sich die fehlende Kenntnis des informationsersuchenden Staates, ob und vor allem welche Informationen in dem ersuchten Staat vorhanden sind.304 Es fehlt an einem technischen und systematischen Konzept, welches noch vor dem Ingangsetzen eines förmlichen Rechtshilfeverfahrens bekannt gibt, welche Behörden der Mitgliedstaaten relevante Informationen für das ersuchte Vorhaben bereithalten. Dieser Mangel an Kenntnis wird durch die vorherrschenden institutionellen Behördenstrukturen der fremden Mitgliedstaaten intensiviert. Eine große Zahl der Mitgliedstaaten unterscheidet organisatorisch ihre Polizeibehörden in Bundes-, Landes- und Ortseinheiten, von denen jede Organisationseinheit nur beschränkte Informationsherrschaft in Bezug auf ihre eigenen entsprechenden Informationsnetzwerke besitzt.305 Ein zügiger Informationsaustausch wird durch die Aufsplitterung von Informationen behindert. Die Herausforderungen, die national bei der Überwindung der Informationszersplitterung auf verschiedene Ministerien bestehen, werden zwischen den Mitgliedstaaten durch rechtliche, technische und praktische, den Austausch behindernde Probleme verschärft.306 Um eben diese Hindernisse effektiv zu beheben, arbeitet die Kommission schon seit langem daran, durch fortwährend wiederholte Maßnahmen307 den Strafverfolgungsbehörden in der EU Zugang zu allen erforderlichen und relevanten Daten und Informationen zu geben, um Terrorismus und andere Formen schweren oder organisierten Verbrechens sowie die davon ausgehenden Bedrohungen zu verhindern und zu bekämpfen. Dass hierbei eine hochwertige verbrechensbezogene Informationsverarbeitung in der EU zu schaffen und zu nutzen ist308 , versteht sich insofern als condicio sine qua non jeder wirksamen grenzüberschreitenden polizeilichen Zusammenarbeit. Das Europol-Informationssystem (EIS) und das Schengener Informationssystem (SIS) sind hierbei namhafte Initiativen, durch welche der polizeiliche Informationsaustausch erheblich effektiviert und vereinfacht werden konnte. Dennoch sind sämtliche Informationssysteme auf spezifische Informationskategorien beschränkt und ein Informationsaustausch darf nur zu dem durch das Informationssystem vorgesehenen Zweck erfolgen. Wenn der Beschuldigte zum Beispiel nicht die äußeren Grenzen des Schengen Raumes passiert oder wenn er aber gerade nicht im Rahmen der organisierten Kriminalität tätig wird, sind das SIS bzw. das EIS keine zweckmäßigen Werkzeuge, um Informationen über den Beschuldigten auszutauschen.309 5. Fehlendes einheitliches Verfahren zum Informationsaustausch Der Informationsaustausch zwischen den Mitgliedstaaten wird weiterhin durch den Umstand erschwert, dass derzeit kein einheitliches Verfahren zum grenzüberschreitenden Austausch strafverfolgungsrelevanter Informationen existiert. Die Strafverfolgungsbehör304
Dies bemängelt auch KOM (2005) 490 endg., S. 3. Vermeulen et al., Availability (2005), S. 19. 306 KOM (2004) 429 endg., S. 3. 307 Beispielhaft sei an dieser Stelle nur die Mitteilung der Kommission an den Rat und das Europäische Parlament vom 16. Juni 2004, KOM (2004) 429 endg. zu nennen. 308 KOM (2004) 429 endg., S. 4. 309 So das Beispiel bei Vermeulen et al., Availability (2005), S. 19. 305
C. Die Konzeption des Grundsatzes der Verfügbarkeit
63
den in der EU sammeln und kategorisieren Daten und Informationen nach unterschiedlichen Ansätzen. Folglich besteht auch kein einheitliches Forum für die Einstufung der Vertraulichkeit verschiedener Informationsquellen.310 6. Fehlende einheitliche Kontrollmechanismen Das rein nationale Recht vermag es längst nicht mehr einen ausreichenden Schutz personenbezogener Daten zu gewährleisten. So verwundert es nicht, dass die Gewährleistung eines europäischen Datenschutzes in einem Europa ohne Binnengrenzen eine der wesentlichen Aufgaben geworden ist, welche primärrechtlich in Art. 87 Abs. 2 lit. a AEUV ihre Verankerung gefunden hat. Artikel 6 EUV verpflichtet daher die Union zur Achtung der Grundrechte.311 Gerade durch den Grenzübertritt der Information und die Weiterverwendung derselben durch einen anderen Mitgliedstaat wird die Rückverfolgbarkeit der Information und der rechtliche Schutz des Betroffenen erschwert. So gibt es keine einheitlichen gemeinsamen Kontrollmechanismen um zu überprüfen, ob die aus einem anderen Mitgliedstaat bezogenen Informationen rechtmäßig verwendet werden, und nur wenige Möglichkeiten, die Quelle und den ursprünglichen Verwendungszweck der erhaltenen Information zurückzuverfolgen.312 Lange Zeit fehlte ein verbindlicher Rahmenbeschluss über den Schutz personenbezogener Daten und Informationen im Rahmen des polizeilichen Informationsaustausches. Die Datenschutzrichtlinie der Europäischen Gemeinschaften fand und findet lediglich Anwendung auf die ehemalige erste Säule, sodass es lange an einem entsprechenden Pendant innerhalb der polizeilichen und justiziellen Zusammenarbeit in Strafsachen ermangelte. Dieser Zustand wurde durch die Verabschiedung des Rahmenbeschlusses 2008/977/JI313 gemildert. Durch diesen Rechtsakt wurden erstmalig innerhalb des EU-Rechtsrahmens Mindeststandards zum Schutze personenbezogener Daten geschaffen. Bedenkt man, dass der Informationsaustausch zu Strafverfolgungszwecken grundrechtliche Garantien im höchsten Maße berührt und daher ein – im Vergleich zum Datenaustausch innerhalb der ehem. ersten Säule – gesteigertes Schutzsystem dringend notwendig ist, kann die Schaffung des RB 2008/977/JI als große Errungenschaft gewertet werden. Mit Inkrafttreten des Lissabonner Vertrages und der damit einhergehenden Aufhebung der Säulenarchitektur der EU ergeben sich gerade bei einer Verfügbarkeit von Informationen vielfältige Fragen im Rahmen der derzeitig geltenden Datenschutzkonzeption.
C. Die Konzeption des Grundsatzes der Verfügbarkeit Schnell erkannte die Europäische Kommission die aufgezeigten Probleme der polizeilichen Informationshilfe. Programmatisch führte die Kommission daher aus, dass ein neues 310
KOM (2004) 429 endg., S. 10. EDSB, ABlEU Nr. C 47/29 v. 25.02.2006. 312 KOM (2005) 490 endg., S. 4. 313 Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, ABlEU Nr. L 350/60 ff. v. 30.12.2008. 311
64
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
innovatives Konzept für den Austausch strafverfolgungsrelevanter Informationen erforderlich sei. Um eine schnellstmögliche Lösung der oben dargestellten Probleme des Informationsaustausches zwischen den Mitgliedstaaten zu erzielen, wurde der Grundsatz der Verfügbarkeit von Informationen als innovative Konzeption eines zukünftigen Informationsaustausches entwickelt. Im Haager Programm314 erfuhr der besagte Grundsatz erstmalig Erwähnung. Seitdem ist der Austausch von Strafverfolgungsinformationen unter Anwendung des Verfügbarkeitsprinzips zu einer Schlüsselfrage der polizeilichen Zusammenarbeit geworden.315 Innerhalb kurzer Zeit wurden mehrere Rechtsinitiativen verabschiedet, um einen zügigen Austausch strafverfolgungsrelevanter Informationen zwischen den Mitgliedstaaten zu ermöglichen. Vorab seien an dieser Stelle der Vorschlag vom 24. 10. 2005 für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit, der Rahmenbeschluss des Rates zur Vereinfachung des Informationsaustausches zwischen den Strafverfolgungsbehörden der EU-Mitgliedstaaten316 und der Beschluss des Rates 2008/615/JI vom 23. Juni 2008 zur Vertiefung der grenzüberschreitenden Zusammenarbeit, insb. zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität vom 31. 7. 2009317 genannt. Während der Informationsaustausch im Bereich der justiziellen Zusammenarbeit in Strafsachen maßgeblich durch den Grundsatz der gegenseitigen Anerkennung Prägung erhalten hat, bildet der Grundsatz der Verfügbarkeit dessen Pendant im Bereich der polizeilichen Zusammenarbeit. Erstmalige Erwähnung erfuhr der Grundsatz der Verfügbarkeit im Haager Programm318 , welches am 04. November 2004 als Nachfolger des Tampere Programms vom Europäischen Rat angenommen wurde. Es legte wesentliche Zielvorstellungen und Richtlinien der polizeilichen Zusammenarbeit zwischen den Mitgliedsstaaten der EU für den Zeitraum von 2005 bis 2009 fest. Hierin wurde die Kommission aufgefordert, bis spätestens Ende 2005 Vorschläge zur Umsetzung des Verfügbarkeitsgrundsatzes zu unterbreiten. Einen Kernpunkt des Haager Programmes bildete daher die Stärkung der inneren Sicherheit der Europäischen Union durch eine Verbesserung des Informationsaustausches bzgl. strafverfolgungsrelevanter Informationen. Mit Wirkung vom 1. Januar 2008 sollte sich der Austausch strafverfolgungsrelevanter Informationen nach den für den Grundsatz der Verfügbarkeit geltenden Bedingungen richten. Die Verfügbarkeit strafverfolgungsrelevanter Informationen bedeutet, dass unionsweit ein Strafverfolgungsbeamter in einem Mitgliedstaat, der für die Erfüllung seiner Aufgaben Informationen benötigt, diese aus einem anderen Mitgliedstaat erhalten kann und dass die Strafverfolgungsbehörde in dem anderen Mitgliedstaat, der über diese Informationen verfügt, die angeforderten Informationen für den erklärten Zweck bereitstellt.319 Hier314 Haager Programm zur Stärkung von Freiheit, Sicherheit und Recht in der Europäischen Union, ABlEU Nr. C 53/01 v. 3.3.2005. 315 Gemeinsamer Standpunkt der Europäischen Datenschutzkonferenz von Zypern über die Anwendung des Verfügbarkeitsprinzips bei der Strafverfolgung vom 11.05.2007, S. 4. 316 ABlEU Nr. L 386/86 v. 28.12.2006. 317 Sog. Prümer Beschluss auf Basis des Prümer Vertrages. ABl. Nr. L 210/1 v. 6.8.2008. 318 Haager Programm zur Stärkung von Freiheit, Sicherheit und Recht in der Europäischen Union, ABlEU Nr. C 53/01 v. 3.3.2005. 319 Haager Programm zur Stärkung von Freiheit, Sicherheit und Recht in der Europäischen Union, ABlEU Nr C 53/7 v. 3.3.2005.
C. Die Konzeption des Grundsatzes der Verfügbarkeit
65
bei soll der Umstand, dass die angeforderten Informationen grenzüberschreitend an eine Strafverfolgungsbehörde eines anderen Staats übermittelt werden, lediglich in der Form Relevanz entfalten können, als dass die angeforderten Informationen laufenden Ermittlungen des ersuchten Staates nicht zuwider laufen dürfen. Der Kommissionsvorschlag folgt daher nicht dem festen Muster des Rechtshilfeverfahrens, sondern will ein völlig neues Konzept einführen.320 Charakteristisches Merkmal des Konzepts der Verfügbarkeit ist es, vorhandene Informationen allen mitgliedstaatlichen Strafverfolgungsbehörden gleichermaßen nach denselben Bedingungen zugänglich zu machen. Aus einem solchen Verständnis der Verfügbarkeit treten zugleich die Komponenten des Verfügbarkeitsgrundsatzes hervor: Zum einen fordert das Konzept der Verfügbarkeit, dass Informationen allen mitgliedstaatlichen Strafverfolgungsbehörden gleichermaßen zur Verfügung gestellt werden (Diskriminierungsverbot), und zum anderen, dass ein freier Austausch der Informationen – für den Fall, dass keine Harmonisierung der einzelstaatlichen Rechtslagen absehbar ist – nur dann funktionieren kann, wenn die beteiligten Behörden unter ähnlichen Bedingungen und Maßstäben arbeiten. Hierdurch entsteht ein Grundvertrauen in das rechtmäßige Handeln der fremden Behörde, ohne welches ein vorbehaltsloser Austausch der Informationen nicht ablaufen kann. Schlagwortartig zusammengefasst setzt sich der Verfügbarkeitsgrundsatz daher aus zwei Komponenten zusammen: Dem Grundsatz des gleichberechtigten Informationszugangs und dem Grundsatz der gegenseitigen Anerkennung in einer abgeschwächten Form.321
I. Der Grundsatz des gleichberechtigten Zugangs Der Informationsaustausch nach dem Grundsatz des gleichberechtigten Zugangs ist dadurch gekennzeichnet, dass an die Bearbeitung von Ersuchen auf Zugang zu Informationen durch den ersuchten Mitgliedstaat keine strengeren Maßstäbe angelegt werden dürfen als die im eigenen Land geltenden Maßstäbe.322 Der Grundsatz des gleichberechtigten Zugangs existierte schon vor dem Grundsatz der Verfügbarkeit und ist somit nicht neu. So erkannte die Kommission schon 2004 die gemeinsame Verantwortung der Mitgliedstaaten für die Sicherheit der EU an und forderte erstmalig den „Grundsatz des gleichberechtigten Zugangs“ als Instrument der Terrorismusbekämpfung einzusetzen.323 Zielvorstellung des Grundsatzes des gleichberechtigten Zugangs ist es, Strafverfolgungsbehörden und -beamten gleichbedeutende Rechte auf Zugang zu Informationen und Datenbanken in anderen EU-Mitgliedstaaten unter vergleichbaren Bedingungen wie den Strafverfolgungsbehörden in diesem Mitgliedstaat zu gewähren. Die logische Folge dieses Rechts ist die Verpflichtung, Strafverfolgungsbeamten anderer Mitgliedstaaten Zugang unter denselben 320 Memo der Kommission „Vorschlag für einen Rahmenbeschluss über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit“ vom 12. Oktober 2005, MEMO/05/376, S. 2. 321 So auch Pressemitteilung der EU-Kommission v. 12.10.2005, EU: Austausch strafverfolgungsrelevanter Informationen, MMR 2005, S. XXV. 322 Begründung des Vorschlags für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit vom 12.10.2005, KOM (2005) 490 endg., S. 7. 323 Mitteilung der Kommission an den Rat und das Europäische Parlament vom 16. Juni 2004, Betreffend den verbesserten Zugang zu Informationen für Strafverfolgungsbehörden, KOM (2004) 429 endg., S. 7.
66
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
Bedingungen zu gewähren wie nationalen Strafverfolgungsbeamten.324 Die Anordnung der Gleichbehandlung fremdstaatlicher Behörden ist hierbei direkter Ausfluss des europäischen Diskriminierungsverbotes. Das Prinzip gleichberechtigten Zugangs erkennt an, dass325 : • die Sicherheit der Union und ihrer Bürger eine gemeinsame Verantwortung ist; • die Mitgliedstaaten bei der Strafverfolgung zur Verhinderung und Bekämpfung des Terrorismus und anderer Formen schweren oder organisierten Verbrechens sowie bei der Abwehr der davon ausgehenden Bedrohungen voneinander abhängen; • die Strafverfolgungsbehörden in den einzelnen Mitgliedstaaten ähnliche Aufgaben erfüllen und gleichgelagerte Informationsbedürfnisse haben; • die zuständigen Behörden rechtmäßig handeln, wenn sie in Erfüllung ihrer Aufgaben sowie innerhalb der durch gemeinsame Datenschutz- und Datensicherheitsstandards gezogenen Grenzen auf Daten zugreifen bzw. Datenbanken abfragen. Das Recht auf gleichberechtigten Zugang allein vermag es nicht, einen Informationsfluss zwischen den Mitgliedstaaten nach dem Grundsatz der Verfügbarkeit zu ermöglichen. Weiterhin würden gemeinsame Standards, wie z. B. eine vereinheitlichte Behördenstruktur oder aber angepasste Zugriffskompetenzen, fehlen. Diese können nur durch Harmonisierung mitgliedstaatlicher Vorschriften erreicht werden. Ein solches Harmonisierungsvorhaben erscheint derzeitig jedoch nicht absehbar. Zudem findet seit Einführung von Art. 39 SDÜ ein direkter Austausch polizeilicher Informationen auf Basis des gleichberechtigten Zugangs statt. Zeitliche Verzögerungen und die Ungewissheit über den Ausgang der Informationsanfrage bleiben aber bestehen.326 Aus diesem Grunde muss das Recht auf gleichberechtigten Zugang um ein Element der gegenseitigen Anerkennung ergänzt werden.
II. Der Grundsatz der gegenseitigen Anerkennung Schon Niklas Luhman stellte fest, dass Vertrauen die Basis einer jeden Kommunikation ist.327 Ein wesentliches Hauptziel der europäischen Informationspolitik besteht somit darin, zum Aufbau eines solchen Vertrauensverhältnisses zwischen den Strafverfolgungsbehörden, -beamten und -partnern beizutragen. Auch wenn bereits durch Art. 39 SDÜ die Möglichkeit für mitgliedstaatliche Polizeibehörden geschaffen wurde, Informationen mit anderen mitgliedstaatlichen Strafverfolgungsbehörden auszutauschen, so wurde nur in seltenen Fällen hiervon Gebrauch gemacht. Die einzelnen Polizeibehörden bringen fremden Polizeibehörden nur wenig Vertrauen entgegen und versuchen ihre „eigenen“ Daten bei sich zu behalten. Der Unwillen 324
KOM (2004) 429 endg., S. 8. Zum Folgendem vgl. Arbeitspapier der Kommissionsdienststellen – Begleitdokument zum Vorschlag für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit – Folgenabschätzung vom 12.10.2005, SEK (2005) 1270, S. 7 sowie KOM (2004) 429 endg., S. 8. 326 Arbeitspapier der Kommissionsdienststellen – Begleitdokument zum Vorschlag für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit – Folgenabschätzung vom 12.10.2005, SEK (2005) 1270, S. 14. 327 Luhman, Trust and Power, S. 1 ff. 325
C. Die Konzeption des Grundsatzes der Verfügbarkeit
67
Daten zu teilen, behindert somit die zwischenstaatliche Kooperation.328 Der Mangel an Vertrauen tritt auch im Rahmen der Kooperation mitgliedstaatlicher Polizeibehörden mit Europol deutlich hervor. Nur sehr wenige Daten werden durch die nationalen Behörden an Europol bereitgestellt. Eine effiziente Arbeit Europols ist somit nur schwerlich möglich. Die Einführung gemeinsamer Standards ist daher entscheidend für die Schaffung einer vertrauensvollen Umgebung für die Erhebung von, den Zugriff auf und den Austausch von Informationen.329 Das Prinzip der gegenseitigen Anerkennung beinhaltet eine bis dato nicht bestehende wechselseitige Pflicht des angerufenen Mitgliedstaates Informationen an die Strafverfolgungsbehörden des anderen Mitgliedstaates bereitzustellen, welchen ein Recht durch die heimische Rechtsordnung eingeräumt ist, Informationen zu erhalten.330 Gegenseitiges Vertrauen und gegenseitige Anerkennung bilden eine entscheidende Bedingung für den Austausch von Strafverfolgungsinformationen.331 Insbesondere sind Regierungen und Regierungsbehörden zu einem wirksamen Austausch mit fremdstaatlichen Behörden nur bereit, wenn sichergestellt ist, dass diese anderen Mitgliedstaaten die Informationen im Einklang mit angemessenen rechtlichen Bestimmungen nutzen.332 Neben der fortschreitenden Harmonisierung des materiellen Strafrechts der Mitgliedstaaten durch Rahmenbeschlüsse ermöglicht es der Grundsatz der gegenseitigen Anerkennung, eben dieses Vertrauen zu konstruieren. Hierdurch wird eine höhere Ebene der Kommunikation erreicht. Hierbei tritt die enge Verbundenheit des Grundsatzes der Verfügbarkeit im Bereich der polizeilichen Zusammenarbeit mit dem Grundsatz der gegenseitigen Anerkennung im Bereich der justiziellen Zusammenarbeit deutlich hervor. Sowohl das Konzept des Grundsatzes der Verfügbarkeit als auch der Grundsatz des gleichberechtigten Zugangs bilden Spiegelbilder des Prinzips der gegenseitigen Anerkennung333 , dessen Umsetzung für den Bereich der justiziellen Zusammenarbeit in Strafsachen vorangetrieben wird. Die Strafverfolgungsbehörden in der EU sammeln und kategorisieren Daten und Informationen nach unterschiedlichen Ansätzen, sodass kein einheitliches Forum für die Einstufung der Vertraulichkeit verschiedener Informationsquellen existiert.334 Umso wichtiger ist daher der Aufbau eines Vertrauensverhältnisses zwischen den Strafverfolgungsbehörden, -beamten und -partnern der einzelnen Mitgliedsstaaten, indem ein Fundament gemeinsamer Werte, Standards und Politikorientierungen in diesem Bereich geschaffen wird.335 Gemeinsame Standards für den Datenzugriff und die Datenverarbeitung bilden daher eine unabdingba328 Vertiefend zum fehlenden Vertrauen als Hindernis der polizeilichen Zusammenarbeit Mitsilegas, Controlling Security (2008), S. 7 ff. 329 KOM (2004) 429 endg., S. 14. 330 Arbeitspapier der Kommissionsdienststellen – Begleitdokument zum Vorschlag für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit – Folgenabschätzung vom 12.10.2005, SEK (2005) 1270, S. 11. 331 Gemeinsamer Standpunkt der Europäischen Datenschutzkonferenz über die Anwendung des Verfügbarkeitsprinzips bei der Strafverfolgung v. 11.05.2007, S. 4. 332 Gemeinsamer Standpunkt der Europäischen Datenschutzkonferenz über die Anwendung des Verfügbarkeitsprinzips bei der Strafverfolgung v. 11.05.2007, S. 4. Ebenso Balzacq et al., Security and the two-level game: The Treaty of Prüm, the EU and the management of threats, S. 13. 333 Satzger spricht insofern von einer Parallelentwicklung, Satzger, Internationales und Europäisches Strafrecht, S. 175, Rdn. 48. 334 KOM (2004) 429 endg., S. 10. 335 So auch die Forderung der Kommission in KOM (2004) 429 endg., S. 14.
68
§ 1 Informationsaustausch als Element der polizeilichen Zusammenarbeit in Strafsachen
re Grundlage, um Informationen auf strategischer und operativer Ebene effektiv weiterzugeben.336 Genau wie bei dem Prinzip der gegenseitigen Anerkennung ist es das Ziel des Prinzips der Verfügbarkeit zu ermöglichen, dass Informationen, welche für die Strafverfolgung benötigt werden, grenzüberschreitend im EU-Raum verarbeitet und verwertet werden können, ohne dass hierbei eine Rechtmäßigkeitsprüfung der Maßnahme am Maßstab des innerstaatlichen Rechts vorgeschaltet wird.337 Gegenseitiges Vertrauen in die Rechtmäßigkeit des Handelns der fremdstaatlichen Strafverfolgungsbehörde soll die Erschwernisse des herkömmlichen Informationsaustausches beseitigen. Die künftige Strafrechtsintegration ist ganz entscheidend von einem wechselseitigen Vertrauen auf das rechtmäßige Handeln der Strafverfolgungsstellen der einzelnen Mitgliedstaaten geprägt.338 Zu Recht lässt sich sagen, dass der Grundsatz der Verfügbarkeit eine Abkehr von den herkömmlichen Strukturen339 des Informationsaustausches darstellt, welcher insb. durch bilaterale oder multilaterale Vereinbarungen geprägt war und auf formellen Anfrageprozeduren basierte. Die Konzeption des Verfügbarkeitsgrundsatzes wurde fortan als Grundmaxime zur Entwicklung konkreter Gesetzgebungsvorhaben herangezogen.
336 337 338 339
KOM (2004) 429 endg., S. 15. So auch Fletcher/Lööf/Gilmore, EU Criminal Law (2008), S. 94. Mansdörfer, HRRS 2010, S. 13. So auch Fletcher/Lööf/Gilmore, EU Criminal Law (2008), S. 95.
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU im Bereich des RFSR A. Der Trend zur Datenbank im Bereich der polizeilichen Zusammenarbeit Gemäß dem Motto „Vorsprung durch Wissen“ sind innerhalb der letzten Jahre auf EU-Ebene zahlreiche Initiativen auf den Weg gebracht worden, um das „Datenarsenal“ der Behörden mit dem nötigen Rüstzeug für eine effektive Strafverfolgung zu bestücken. Hierbei gilt es zum einen eine große Anzahl von Daten zu erheben, um diese sodann einer möglichst großen Anzahl von behördlichen Nutzern zugänglich zu machen. Vorhandene Daten gilt es möglichst effektiv zu nutzen; die Errichtung von Datenbanken bildet die logische Folge. Im weitest denkbaren Sinne sind Datenbanken eine Ansammlung von Dateien, d. h. von mehreren Daten, die systematisch angeordnet und einzeln mit Hilfe elektronischer Mittel zugänglich gemacht werden. Innerhalb der vorliegenden Arbeit wird insofern eine Eingrenzung vorgenommen, als dass Datenbanken, abgeleitet vom englischen Begriff „database“1 , lediglich solche Dateisammlungen sind, welche elektronisch abrufbar sind. Durch die Verwendung von Datenbanken können große Mengen von Daten ohne zeitliche Verzögerung und ohne größere Investition kopiert, verbreitet und auch ausgetauscht werden. So können Datenbanken z. B. auf physischen Trägermedien, wie Festplatten, Blue-Ray, CD-ROM, Disketten oder Magnetbändern vorgehalten werden. Da die auf diesen Trägermedien befindlichen Datenbanken nicht fortlaufend aktualisiert werden können und den Informationsstand auf den Zeitpunkt der punktuellen Datenspeicherung begrenzt, spricht man hier von Offline-Datenbanken.2 Neben diesen Datenbanken, nimmt die Bedeutung von sog. Online-Datenbanken immer stärker zu. Bei ihnen handelt es sich um Datenbanken, auf die man in ihrem jeweils aktuellsten Zustand ohne zeitliche Verzögerung zugreifen kann.3 Da ein solcher Zugriff aufgrund von Funk- oder Kabelverbindungen ermöglicht wird, erfolgt diese Art der Datenbanknutzung in der Regel im Rahmen von Intra-Nets, via Internet, durch Vermittlung eines Online-Dienstes oder durch einen unmittelbaren Nutzungsvertrag zwischen Anwender und Datenbankbetreiber. Der Wandel staatlicher Souveränität im Zuge des europäischen Integrationsprozesses zieht einen Bedeutungszuwachs für Daten und die sie kanalisierenden Datenbanken mit 1 Ein ebenfalls restriktives Verständnis legt auch Mehrings, Rechtsschutz Datenbanken (1990), S. 59 ff. zugrunde. 2 Harte-Bavendamm/v. Gerlach, in: Kilian/Heusen, Computer-RechtsHdB (2012), Rechtsschutz von Datenbanken, Rdn. 4. 3 Harte-Bavendamm/v. Gerlach, in: Kilian/Heusen, Computer-RechtsHdB (2012), Rechtsschutz von Datenbanken, Rdn. 4.
70
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
sich.4 Gerade in der grenzüberschreitenden polizeilichen Kooperation hat sich unter der Schutzherrschaft der EU der Wandel von einer anlassbezogenen zu einer systematischen Organisation der Zusammenarbeit vollzogen.5 Die Entwicklung wurde maßgeblich durch die Errichtung gemeinsamer Datenbanken beschleunigt. Im Raum der Freiheit, der Sicherheit und des Rechts existiert eine Vielzahl von Datenbanken. Beispielhaft seien hier insoweit das Europol-Informationssystem (EIS), das Schengener Informationssystem (SIS II), die Fingerabdruckdatenbank EURODAC, das Zollinformationssystem (ZIS) und das Aktennachweissystem für Zollzwecke genannt. In den letzten Jahren hat vorallem die Diskussion über ein gemeinsames europäisches Vorgehen in der Terrorismusbekämpfung die Ausgestaltung des Raums der Freiheit, der Sicherheit und des Rechts geprägt.6 Insbesondere kam es zur Aufnahme neuer Datenkategorien, sodass zahlreiche neue Ansätze hervorgebracht wurden, welche die Versorgung der Informationssysteme mit neuen Informationen gewährleisten.7 Jede einzelne dieser Datenbanken verfolgt insofern einen charakteristischen Zweck, welcher neben der Bekämpfung spezifischer Straftaten auch präventiv das Ziel der Förderung des Informationsaustausches im Allgemeinen verfolgen kann. Den Ausgangspunkt dieser Entwicklung bildet der Umstand, dass durch den Wegfall der Binnengrenzkontrollen die mitgliedstaatlichen Behörden bildlich gesprochen an ihre „Grenzen“ stoßen. Erforderliche Daten sind im eigenen Land nicht verfügbar, sodass eine Erfüllung der Strafverfolgungsaufgaben vielfach auf rein nationaler Ebene nicht möglich ist. Die zu erreichende Zielvorstellung ist es, der Mobilität der Bürger der EU äquivalent eine Mobilität der Daten entgegenzusetzen. Die strafverfolgenden Behörden sind aus diesem Grunde auf eine Kooperation mit den anderen mitgliedstaatlichen Behörden angewiesen. Grundsätzlich zeichnet sich eine Tendenz in Bezug auf den Einsatz von Informationssystemen deutlich ab8 : Nach anfänglichen Bestrebungen, bestehende Informationsnetzwerke auszubauen und neue Netzwerke zu kreieren, gilt es nun, die Interoperabilität und die Kompatibilität der Systeme zu fördern, um einen möglichst weitreichenden Austausch zwischen unterschiedlichsten Behörden zu ermöglichen.9
4 Heussner, Informationssysteme (2007), S. 13. Für einen Überblick der existierenden Datenbanken im Raume der ehemaligen dritten Säule und deren Grundprinzipien siehe Geyer, Taking Stock: Databases and Systems of Information Exchange in the Area of Freedom, Security and Justice, S. 1 ff.; Hempel/Carius/Ilten, Exchange of information and data between law enforcement agencies within the European Union. Discussion paper Nr. 29/09. 5 Heussner, Informationssysteme (2007), S. 100. 6 Zu den Auswirkungen der Terrorismusbekämpfung unter Verwendung der Instrumente des Datenaustausches innerhalb der EU siehe Bunyan, Race & Class (51) 2010, S. 1 ff. 7 Saurer, NVwZ 2005, S. 281. Heussner, Informationssysteme (2007), S. 101. 8 Hierzu auch Mathiesen, Perspectives (2006), S. 131. 9 Hierzu vertieft Fletcher/Lööf/Gilmore, EU Criminal Law (2008), S. 93 f. Eine solche Forderung wurde zudem ausdrücklich vom Europäischen Rat in seiner Erklärung zum Kampf gegen den Terrorismus vom 23.03.2004, S. 7 gefordert: „Der Europäische Rat fordert die Kommission auf, Vorschläge zur Verbesserung der Interoperabilität europäischer Datenbanken vorzulegen und zu erkunden, welche Synergieeffekte zwischen bestehenden und künftigen Informationssystemen (SIS II, VIS und EURODAC) geschaffen werden können, damit der Zusatznutzen, den diese Systeme in ihrem jeweiligen rechtlichen und technischen Rahmen bieten, der Verhütung und Bekämpfung des Terrorismus zugute kommen kann.“ Zudem ist die Interoperabilität informationstechnischer Systeme und der Aufbau einer europäischen Informationssystemarchitektur eine wesentliche Zielstellung des Stockholmer Programms, vgl. nur Mitteilung der Kommission an das europäische Parlament und den Rat: Ein Raum der Freiheit, der Sicherheit und des Rechts im Dienste der Bürger, KOM (2009) 262 endg.
B. Dezentrale versus zentrale Datenbanken
71
B. Dezentrale versus zentrale Datenbanken Die innerhalb des Raumes der Freiheit, der Sicherheit und des Rechts bestehenden Informationssysteme (Datenbanken) lassen sich anhand ihres organisatorisch-technischen Aufbaus vereinfacht in zwei Gruppen unterteilen. So gibt es auf der einen Seite Informationssysteme, welche zentral aufgebaut und auf der anderen Seite Informationssysteme, welche dezentralisiert strukturiert sind.10 Durch zentrale Informationssysteme werden Informationen durch die Mitgliedstaaten gesammelt und in einer Datenbank zugänglich gemacht, welche sich auf europäischer Ebene befindet. Namhafte Vertreter zentraler Informationssysteme im Bereich des RFSR sind das Schengener Informationssystem (SIS), das in der Entstehung befindliche Schengener Informationssystem II (SIS II), das Visa-Informationssystem (VIS), das Zollinformationssystem (ZIS) sowie EURODAC. Der Zugriff auf diesen gemeinsamen Datenbestand erfolgt durch die Mitgliedstaaten unter Verwendung eines nationalen Terminals, welcher als Schnittstelle den direkten Zugang auf den zentralen Server ermöglicht. Die Verwaltung des zentralen Servers kann entweder auf selbstständige Institutionen des Unionsrechts, wie z. B. Europol oder Eurojust, oder im Ausnahmefall auch auf die Kommission übertragen werden, deren Beteiligung im Rahmen von Informationssystemen der ehemals supranationalen PJZS nicht vorgesehen war.11 Das Kernmerkmal zentraler Informationssysteme im Rahmen des RFSR besteht darin, dass die jeweiligen Mitgliedstaaten die ihnen zustehende Informationshoheit, also das Recht, allein über den staatlichen Datenbestand zu verfügen, ein Stück weit aufgeben, indem vorhandene Daten den anderen Mitgliedstaaten zum Zwecke der Verbrechensbekämpfung u.ä. bereitgestellt werden. Durch den Rückgriff auf eine zentrale Informationsstruktur werden die in dem Informationssystem befindlichen Daten in ihrem räumlichen Wirkungsbereich erweitert, da sie nunmehr nicht nur innerhalb des nationalen Bereichs zur Verfügung stehen, sondern innerhalb des EURaumes einen „transnationalen Charakter“12 erhalten.13 Nicht zuletzt wurde den Mitgliedstaaten durch die Öffnung des Schengen Raumes bewusst, dass eine wirksame Bekämpfung grenzüberschreitender Kriminalität nur dann möglich ist, wenn nationale Hoheitsinteressen zugunsten eines gemeinsamen Vorgehens auf EU-Ebene zurücktreten. Die Errichtung von zentralen Informationssystemen innerhalb des RFSR wurde daher lange Zeit vorangetrieben. Die Funktionsweise eines prototypischen zentralen Informationssystems lässt sich durch Abbildung 1 verdeutlichen. Im Laufe der letzten Jahre hat sich innerhalb des RFSR der Trend entwickelt, dezentrale Informationssysteme zu errichten. Statt einen auf Unionsebene befindlichen zentralen Server mit mitgliedstaatlichen Zugriffsrechten zu versehen, werden bei dezentralen Informationssystemen die einzeln nebeneinander bestehenden mitgliedstaatlichen Datenban10 An dieser Stelle werden die von Agenturen verwalteten Informationssysteme, welche gleichermaßen zentrale wie auch dezentrale Elemente enthalten, bewusst ausgegliedert, da sie für den Grundsatz der Verfügbarkeit und dessen Umsetzung auf EU-Ebene keinerlei Relevanz entfalten. Zu diesen ausführlich Heussner, Informationssysteme (2007), S. 188 ff. 11 Heussner, Informationssysteme (2007), S. 183. Nach Ansicht von Heussner geschieht die Einbindung der Kommission z.B im Rahmen des ZIS nur aus Gründen der Praktikabilität, da das intergouvernementale ZIS dieselben Strukturen wie das supranationale ZIS nutzt. 12 Heussner, Informationssysteme (2007), S. 184. 13 So auch von Bogdandy/Arndt, EWS 2000, S. 3 bzgl. des supranationalen Teils des ZIS.
72
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
Abbildung 1: Funktionsweise zentraler Informationssysteme
ken technisch miteinander vernetzt.14 Die folgende Abbildung 2 verdeutlicht den Aufbau eines dezentralisierten Informationssystems. Ein wesentlicher Vorteil dezentraler Informationssysteme ist in dem Umstand zu sehen, dass die Errichtung neuer Informations- und Datenbanken auf EU-Ebene entbehrlich wird. Der Rückgriff auf bestehende mitgliedstaatliche Strukturen setzt jedoch ein gewisses Maß an Konvergenz der Informationssysteme – sei es durch unionsrechtlich festgelegte Datenformate oder zu sammelnde Datenkategorien – voraus. Ein dezentralisiertes Informationssystem mit direkten Zugriffsmöglichkeiten der Mitgliedstaaten kann nur dann effektiv genutzt werden, wenn sich die miteinander vernetzten Informationssysteme in ihrer Struktur und Funktionsweise einander anpassen lassen. Die Forderung einer schrittweisen Anpassung der Datenbanken15 wird seit längerem unter dem Schlagwort der Interoperabilität von Informationssystemen diskutiert. Interoperabilität bezeichnet die Fähigkeit von IT-Systemen und der von ihnen unterstützten Geschäftsprozesse, Daten miteinander auszutauschen und die gemeinsame Nutzung von Informationen und Kenntnissen zu ermöglichen. Auffallend ist, dass die Kommission Interoperabilität als rein technisches Konzept16 , welches auch auf einem gewissen technischen Mindestmaß 14 Die dezentrale Verknüpfung nationaler, strukturgleicher Informationssysteme bildet den Regelfall des Informationsaustausches zwischen den Mitgliedstaaten innerhalb der ehemals dritten Säule. Infolgedessen werden die Sonderfälle dezentraler Informationssysteme an dieser Stelle nicht erläutert. Hierzu jedoch die umfassende Darstellung bei Heussner, Informationssysteme (2007), S. 187 ff. 15 Vgl. EDSB, ABlEU Nr. C 116/11 v. 17.5.2006. So auch schon die Forderung der Kommission in Bezug auf SIS II, VIS und EURODAC: Mitteilung der Kommission an den Rat und das Europäische Parlament über die Verbesserung der Effizienz der europäischen Datenbanken im Bereich Justiz und Inneres und die Steigerung ihrer Interoperabilität sowie der Synergien zwischen ihnen, KOM (2005) 597 endg. Gleichlaufend auch die Erklärung des Europäischen Rates zum Kampf gegen den Terrorismus Dok. 7906/04 v. 29.03.2004 und das Haager Programm zur Stärkung von Freiheit, Sicherheit und Recht in der Europäischen Union, ABlEU Nr. C 53/8 v. 3.3.2005. 16 Mitteilung der Kommission an den Rat und das Europäische Parlament über die Verbesserung der Effizienz der europäischen Datenbanken im Bereich Justiz und Inneres und die Steigerung ihrer Interoperabilität sowie der Synergien zwischen ihnen, KOM (2005) 597 endg., S. 3.
B. Dezentrale versus zentrale Datenbanken
73
Abbildung 2: Funktionsweise dezentraler Informationssysteme
an Harmonisierung aufbaut, versteht, ohne hierbei jedoch zu berücksichtigen, dass bei voller Interoperabilität zugleich auch der Kreis der Zugriffsmöglichkeiten auf eine Vielzahl von in den Datenbanken befindlichen personenbezogenen Daten ermöglicht wird.17 Ungeachtet gewisser technischer Vorgaben der EU, welche von den beteiligten Mitgliedstaaten umzusetzen sind, ermöglichen es dezentrale Informationssysteme, die originäre Informationshoheit der beteiligten Mitgliedstaaten fortzuführen. Vorhandene Daten verbleiben – im Gegensatz zu zentral ausgestalteten Systemen – in der Obhut des Staates, welcher sie erhoben und verarbeitet hat. Ein Zugriff auf nationale Informationen durch fremdmitgliedstaatliche Behörden ist möglich – nicht jedoch ohne dass der informationsinnehabende Staat hierüber informiert wird.18 Auf diese Weise kann den Souveränitätsinteressen der Mitgliedstaaten entsprochen werden und zugleich jedoch auch eine Mindestharmonisierung im Bereich der polizeilichen Zusammenarbeit geschaffen werden. Es verwundert daher nicht, dass auf europäischer Ebene zumeist in den bis zum Inkrafttreten des Lissabonner Vertrages supranational ausgestalteten Politikbereichen, wie der PJZS, überwiegend dezentral organisierte Informationssysteme19 geschaffen wurden.
17 Mitsilegas sieht hierin den Entpolitisierungsversuch einer datenschutz- und grundrechtlich relevanten Angelegenheit, um auf diesem Wege ein weitreichendes Rechtskonzept fernab demokratischer Kontrollprozesse und wirksamer rechtlicher Kontrollen zu etablieren. Vgl. Mitsilegas, European Criminal Record (2008), S. 324. 18 Williams/Johnson, Genetic policing (2008), S. 158; Heussner, Informationssysteme (2007), S. 186. 19 Vertiefend zu den jeweiligen Vor- und Nachteilen der dargestellten Datenbankmodelle Stefanou, European Criminal Record (2008), S. 70.
74
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken Entscheiden sich die Mitgliedstaaten für eine dezentrale Datenbankarchitektur, so muss in einem zweiten Schritt die Zugriffsform auf den in der Datenbank befindlichen Datenbestand festgelegt werden. Für die Ausgestaltung des Datenzugriffs ergeben sich zwei denkbare Möglichkeiten. Zum einen kann den beteiligten Mitgliedstaaten ein unmittelbarer Zugriff auf die in der gemeinsamen Datenbank befindlichen Datenbestände gewährt werden (sog. „Datenpoolmodell“). Denkbar ist es jedoch auch, den an der dezentralen Datenbank beteiligten Staaten nur ein mittelbares Datenzugriffsrecht einzuräumen, indem mittelnde Institutionen in den Zugriff auf die Datenbestände einbezogen werden (sog. „Schleusenmodell“). Im Rahmen des „Schleusenmodells“ richtet der ersuchende Staat seine Informationsanfrage an eine Zwischeninstitution, welche sodann nach einer rechtlichen Kontrolle den Zugriff auf die von ihr verwalteten Informationen an den ersuchenden Staat gewährt. Diese Zwischeninstitutionen werden auf europäischer Ebene als Kontaktstellen bezeichnet. Grundsätzlich kann innerhalb der Kontaktstellen zwischen nationalen und zentralen Kontaktstellen unterschieden werden. Erstere sind die Kontaktstellen der an der Datenbank beteiligten Mitgliedstaaten20 , zweitere sind staatenunabhängige Institutionen. Bei den gegenwärtigen Formen der Zusammenarbeit zwischen Strafverfolgungsbehörden sind in der Regel landesweit operierende Dienststellen oder zentrale Anlaufstellen zwischengeschaltet21 , welche allgemeine Kontroll- und Aufsichtsfunktionen übernehmen. Dem entgegengesetzt wird bei dem Modell des „Datenpools“ im Rahmen des Datenzugriffs vollständig auf eine mittelnde Zwischeninstanz verzichtet. Die Mitgliedstaaten speisen ihre Daten selbständig in einen Datenverbund ein und der Zugriff erfolgt ebenso autonom durch einen direkten Zugriff des ersuchenden Staates auf die eingespeisten Daten.22 Der wesentliche Vorteil einer autonomen und direkten Zugriffsmöglichkeit ist in der hieraus entstehenden Zeitersparnis bei der Bearbeitung von Informationsanfragen zu sehen. Zwischenschritte, wie z. B. das Formulieren eines Informationsersuchens gegenüber den fremdmitgliedstaatlichen Kontaktstellen, entfallen. Dieser Beschleunigung des Verfahrens stehen jedoch Nachteile gegenüber: Zum einen besteht keine Möglichkeit einer zentralen Aufsicht. Zum anderen können Verständigungsprobleme den zwischenstaatli20 Beispielhaft sei hier das Netzwerk von Europol genannt. Der Austausch von Informationen und Erkenntnissen der einzelnen Nationalstaaten erfolgt ausschließlich über die nationalen Verbindungsstellen, die jeweils ein Verbindungsbüro in Den Haag betreiben. 21 KOM (2005) 490 endg., S. 3. 22 Beispielhaft sei an dieser Stelle für den Bereich der zentralen Datenbanken der Informationsaustausch auf Basis des Schengener Übereinkommens (Übereinkommen zur Durchführung des Übereinkommens von Schengen vom 14. Juni 1985 zwischen den Regierungen der Staaten der BeneluxWirtschaftsunion, der Bundesrepublik Deutschland und der Französischen Republik betreffend den schrittweisen Abbau der Kontrollen an den gemeinsamen Grenzen, ABl. Nr. L 239/19-62 vom 22.9.2000) genannt. Im Rahmen des Schengener Informationssystems (SIS) wird auf europäischer Ebene jeweils eine Zentralstelle geschaffen, der eine nach nationalem Recht gegründete zentrale Stelle in den Mitgliedstaaten zuarbeitet. Die Strafverfolgungsbehörden können hier direkt Informationen über gesuchte Personen, gestohlene Gegenstände und Fahrzeuge unter Verwendung des Schengener Informationssystems austauschen.
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken
75
chen Informationsaustausch behindern. Eben diese Sprachhindernisse im Rahmen des direkten Informationsaustausches heben das Beschleunigungsargument in vielen Fällen wieder auf. Die Mitgliedstaaten sind mit dem Einräumen eines direkten Zugriffs auf ihre Datenbestände sehr zurückhaltend. Laut einer Fragebogenstudie der Kommission wird ein Zugriff nach vorabgeschaltener förmlicher Anfrage bevorzugt.23 Dessen ungeachtet ist innerhalb der letzten Jahre ein Trend der Mitgliedstaaten zu verzeichnen, Modelle mit direkten Datenaustausch zu fördern, um einen zeitnahen Informationsaustausch zwischen den Strafverfolgungsbehörden zu ermöglichen. Durch die Vielfalt der bestehenden Regelungen konnte sich der Datenaustausch als ureigenster Kern und Herzstück24 der polizeilichen Zusammenarbeit herausbilden. Seine Verbesserung ist der Schlüssel zur Verbesserung der polizeilichen Zusammenarbeit.25 In diesem Bewusstsein wurde durch das Haager Programm der Grundsatz der Verfügbarkeit von Daten und Information erschaffen, nach dessen Vorstellung verfügbare Informationen durch gleichwertige mitgliedstaatliche Behörden verarbeitet und verwertet werden können, ohne dass hierbei eine Rechtmäßigkeitsprüfung der Maßnahme am Maßstab des innerstaatlichen Rechts vorgeschalten wird. Angelehnt an die Unterscheidung zwischen „Datenpoolmodell“ und „Schleusenmodell“ ergeben sich zur rechtlichen Umsetzung des Grundsatzes der Verfügbarkeit somit im wesentlichen zwei Möglichkeiten.
I. Das „Datenpoolmodell“ Für eine direkte, vollständige Umsetzung des Grundsatzes der Verfügbarkeit in seiner Reinform bietet sich zunächst das „Datenpoolmodell“ an. Den Strafverfolgungsbehörden eines Mitgliedstaates würde somit ein direkter Zugriff auf die Datenbanken der Strafverfolgungsbehörden eines anderen Mitgliedstaates eingeräumt werden, ohne dass eine Beteiligung des informationsinnehabenden Mitgliedstaates notwendig wird. Ein solches Verständnis des Verfügbarkeitsgrundsatzes fußt auf einer horizontalen Kooperation der Mitgliedstaaten, wobei gleichzeitig jedoch eine vollständige Abkehr von dem Gedanken der Informationshoheit der national erhobenen Daten vollzogen wird. Zwar hat der informationsinnehabende Staat eine Kontrollmöglichkeit bzgl. der erfolgenden mitgliedstaatlichen Zugriffe, indem er durch technische Kontrollmechanismen erfahren kann, welcher Mitgliedstaat welche Daten abruft. Dem Kerngedanken des Verfügbarkeitsgrundsatzes ist es jedoch geschuldet, dass auf das rechtmäßige Handeln der fremden Behörden vertraut werden muss, indem gleichwertigen Behörden der direkte Zugriff auf die innerstaatlichen Daten gewährt wird. 23 Fragebogenstudie im Rahmen des gleichberechtigten Zugangs, organisiert von der Kommission im November 2004 und Januar 2005. Vgl. Vermeulen et al., Availability (2005), S. 18. 24 So die Kommission in ihrem „Vorschlag für einen Rahmenbeschluss über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit“ vom 12. Oktober 2005, MEMO/05/376, S. 2; Arbeitspapier der Kommissionsdienststellen: Begleitdokument zum Vorschlag für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit – Folgenabschätzung vom 12.10.2005, SEK (2005) 1270, S. 4. 25 Arbeitspapier der Kommissionsdienststellen – Begleitdokument zum Vorschlag für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit – Folgenabschätzung vom 12.10.2005, SEK (2005) 1270, S. 4.
76
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
Die Anwendung des „Datenpoolmodells“ durch einen direkten Zugriff auf besonders sensible Strafverfolgungsdaten stellt zweifellos die visionärste Initiative zur Umsetzung des Verfügbarkeitgrundsatzes dar und würde die bis zum Lissabonner Vertrag vorwiegend supranational ausgerichtete polizeiliche Zusammenarbeit der Mitgliedstaaten auf eine neue Ebene heben. Das Potential des sog. „Datenpoolmodells“ wurde frühzeitig von der Kommission erkannt, sodass sie bereits im Oktober 2005 einen Rahmenbeschlussentwurf26 über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit vorlegte, welcher auf dem „Datenpoolmodell“ aufbaut. 1. Rahmenbeschlussentwurf des Rates zur Umsetzung des Grundsatzes der Verfügbarkeit Bedingt durch die im Haager Programm gegenüber der Kommission formulierte Aufforderung spätestens bis Ende 2005 eine gesetzliche Regelung des Verfügbarkeitsgrundsatzes zu erarbeiten, legte diese als Reaktion auf die Terroranschläge in London am 7. Juli 2005 bereits im Oktober 2005 einen Rahmenbeschlussvorschlag27 vor, welcher die wesentlichen und weitreichenden Grundvoraussetzungen des Verfügbarkeitsmodells regeln sollte, um somit einen zügigen Datenaustausch zwischen den mitgliedstaatlichen Strafverfolgungsbehörden zu ermöglichen.28 a) Anwendungsbereich des Rahmenbeschlussentwurfes Der Rahmenbeschlussentwurf ist in seinem sachlichen Anwendungsbereich auf jene personenbezogenen Daten29 beschränkt, welche sich im Rahmen der polizeilichen Zusammenarbeit als besonders hilfreich erwiesen haben30 . So soll der Informationsaustausch für DNA-Profile, Fingerabdrücke, ballistische Erkenntnisse, Kfz-Halterermittlungen, Telefonnummern und schließlich auch von Mindestauskünften aus Personenstandsregistern ermöglicht werden.31 Die Mitgliedstaaten sollen jedoch nicht verpflichtet werden Informationen zu dem ausschließlichen Zweck der Weitergabe an die Behörden anderer Mitgliedstaaten und Europol zu sammeln und zu speichern (Art. 2 Abs. 2 RB-E). Nur bereits vorhandene personenbezogene Daten also solche Informationen, welche den betroffenen Behörden zur Verfügung stehen sollen erfasst werden. Eine wesentliche Neuerung des Rahmenbeschlussentwurfes stellt die Bereitstellungsverpflichtung der Mitgliedstaaten dar, vorhandene Informationen dem direkten fremdmitgliedstaatlichen Zugriff und Europol zu eröffnen, wenn diese von der gleichwertigen Behörde zur Erfüllung ihrer gesetzlichen Aufgaben in Hinblick auf die Verhütung, Auf26 Vorschlag für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit, KOM (2005) 490 endg. 27 Vorschlag für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit, KOM (2005) 490 endg. 28 Zu den bestehenden Hindernissen im Rahmen der bisherigen Amts- und Rechtshilfestrukturen vgl. § 1 B. II., S. 59. 29 Zur Begriffsklärung sog. personenbezogener Daten vgl. § 1 A. IV. 4. a), S. 43. 30 Der Grund für die Einschränkung der Anwendbarkeit des Entwurfes auf bestimmte Informationsarten ist Kostenfragen geschuldet, vgl. Arbeitspapier der Kommissionsdienststellen, SEK (2005) 1270, S. 17 f. 31 Art. 2 i. V. m. Art. 1 Abs. 1, Art. 3 lit. a.
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken
77
deckung und Untersuchung von Straftaten benötigt werden (Art. 6 RB-E). Hieraus ergibt sich indes gerade keine Verpflichtung der Mitgliedstaaten, ausschließlich zu Weitergabezwecken Informationen zu sammeln und zu speichern (Art. 2 Abs. 2 RB-E). Insofern begrenzt der Rahmenbeschlussentwurf das Konzept des Verfügbarkeitsprinzips in seiner reinen Form, welches eine Speicherungsverpflichtung der Mitgliedstaaten zu konstituieren anstrengt.32 Darüber hinaus wird auf eine Verpflichtung zur Einholung von Informationen durch den Einsatz von Zwangsmaßnahmen verzichtet.33 In zeitlicher Hinsicht gilt der Rahmenbeschlussentwurf nur für den Informationsaustausch vor Beginn eines strafprozessualen Beweisgewinnungsverfahrens. Darüber hinausgehend sollen zudem Regelungen über eine gegenseitige Amtshilfe unberührt bleiben.34 Auf diese Weise wird der Anwendungsbereich des Grundsatzes der Verfügbarkeit gegenüber den Instrumenten der gegenseitigen Rechtshilfe im Allgemeinen und gegenüber der Europäischen Beweisanordnung im Speziellen abgegrenzt.35 b) IT-Organisationsstruktur des RB-E Gerade das Fehlen eines einheitlich geltenden Verfahrens für den Informationsaustausch führt zu Verzögerungen des Informationsflusses. Das Haager Programm sieht als eine Maßnahme vor, dass „neue Technologien in vollem Umfang genutzt werden [sollten und dass] die Methoden an jede Art von Informationen angepasst sein [müssen], gegebenenfalls durch gegenseitigen Zugriff auf nationale Datenbanken oder deren Interoperabilität, oder direkten (Online) Zugang, auch für Europol, zu den bestehenden zentralen Datenbanken der EU wie bspw. SIS“.36 Damit der Verfügbarkeitsgrundsatz mehr sein kann als nur ein theoretisches Prinzip, muss es den Strafverfolgungsbehörden ermöglicht werden, mittels einfacher Verfahren davon Kenntnis zu erhalten, dass die von ihnen benötigten Informationen in einem anderen Mitgliedstaat verfügbar sind.37 In der Konzeption des Rahmenbeschlussentwurfes wird erstmalig der Versuch eingeleitet, ein allgemeingültiges Verfahren zu entwickeln. aa) Online-Zugriff auf online verfügbare Informationen Dem Kerngedanken des Verfügbarkeitsgrundsatzes entsprechend, wonach vorhandene Informationen europaweit verfügbar sein sollen, basiert der RB-E auf einer dezentralen Organisationsstruktur: Von der Errichtung einer zentralen Metadatenbank wurde abgesehen, stattdessen sollten die mitgliedstaatlichen Datenbanken durch die Einräumung gegenseitiger Zugriffsrechte verknüpft werden. Während der RB-E selbst keinerlei Angaben zu einer genauen technischen Umsetzung enthält, wird durch das Arbeitspapier der Folgen32 Gemeinsamer Standpunkt der Europäischen Datenschutzkonferenz über die Anwendung des Verfügbarkeitsprinzips bei der Strafverfolgung v. 11.05.2007, S. 6. 33 Art. 2 Abs. 3 RB-E. 34 Art. 2 Abs. 1 des Vorschlags für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit, KOM (2005) 490 endg., S. 9, 16. 35 Böse, Grundsatz der Verfügbarkeit (2007), S. 49; Böse, EuZ 2007, S. 63. 36 Haager Programm zur Stärkung von Freiheit, Sicherheit und Recht in der Europäischen Union, Nr. C 53/8 v. 3.3.2005. 37 Vorsitz des Ausschusses „Artikel 36“/AStV/Rat ggü. dem Rat der Europäischen Union, Dok. 7641/05 v. 25. März 2005, S. 2.
78
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
abschätzung der Kommissionsstelle38 die genaue Umsetzung näher gehend präzisiert. So sei auf mitgliedstaatlicher Ebene zunächst ein „National Law Enforcement Service Index System“ (NLESIS) zu entwickeln, bevor auf europäischer Ebene die mitgliedstaatlichen Indexsysteme schließlich mittels eines „European Law Enforcement Service Index System“ (ELESIS) verbunden werden.39 In Bezug auf verfügbare Informationen sollte dieser Zugriff ohne Zwischenschaltung und ohne Einschaltung der ersuchten Behörde im Wege eines direkten Online-Zugriffs (Art. 3 lit. f; Art. 9 Abs. 1 RB-E) erfolgen. Durch die Aufgabe der staatlichen Informationshoheit zugunsten einer europaweiten Zugriffseinräumung entspricht der RB-E somit dem bereits erläuterten Datenpoolmodell.40 Auf eine Zwischenschaltung nationaler Kontaktstellen wird insofern vollständig verzichtet. Notwendigerweise wird mit dem Recht eines direkten Zugriffs auf Informationen zugleich die Verpflichtung der beteiligten Behörden verbunden, die technischen Voraussetzungen für den Online-Zugang zu schaffen (Art. 10 Abs. 1 RB-E). Der direkte Online-Zugriff wird indes nicht jeglichen fremdstaatlichen Behörden gestattet, sondern nur solchen, welche den innerstaatlich befugten Behörden des informationsinnehabenden Staates gleichwertig sind.41 Gleichwertige Behörden der Mitgliedstaaten sollen demnach denselben Zugriffsbedingungungen unterliegen, welche auch für die dateiführenden innerstaatlichen Behörden anzuwenden sind. Auf diesem Wege werden evtl. erforderliche Genehmigungsverpflichtungen bezogen auf den Zugriff bestimmter Informationen entbehrlich. Die Bestimmung der Gleichwertigkeit der Behörden richtet sich nach dem durch Art. 19 RB-E festgelegten Regelungsverfahren42 ; hierbei wird die Kommission durch einen Ausschuss unterstützt, welcher sich aus Vertretern der Mitgliedstaaten zusammensetzt.43 bb) Online-Zugriff auf Indexdaten bei nicht online verfügbaren Informationen Ist ein Online-Zugang zu der gesuchten Informationen nicht möglich, haben die Mitgliedstaaten Sorge dafür zu tragen, dass gleichwertigen Behörden zumindest ein OnlineZugriff auf sog. Indexdaten ermöglicht wird. Indexdaten stellen solche Daten dar, welche auf nicht online verfügbare Informationen (sog. Verweisdaten) verweisen.44 Ihr Zweck besteht darin, schnellstmöglich der informationssuchenden Behörde anzuzeigen, ob und 38 Arbeitspapier der Kommissionsdienststellen – Begleitdokument zum Vorschlag für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit – Folgenabschätzung vom 12.10.2005, SEK (2005) 1270, S. 17. 39 Vgl. SEK (2005) 1270, S. 14. 40 Zum Datenpool-Modell vgl. § 2 C. I., S. 75. 41 Zum Verfahren der Feststellung der Gleichwertigkeit der beteiligten Behörden s. Art. 5 RB-E, KOM (2005) 490 endg., S. 18. 42 Art. 5 Abs. 2 des Vorschlags für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit, KOM (2005) 490 endg., S. 18. 43 Hierzu Art. 19 Abs. 1 des Vorschlags für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit, KOM (2005) 490 endg., S. 23. 44 Z. B. Identifizierungsdaten der betreffenden Personen; Identifizierungsnummern für betreffende Objekte (Fahrzeuge, Dokumente), sowie Fingerabdrücke und Digitalfotos. Vgl. die beispielhafte Aufzählung im „Konzept zur Umsetzung des Grundsatzes der Verfügbarkeit“, Dokument des Vorsitzes für den AStV/Rat des Rates der Europäischen Union, Dok. 7641/05 v. 05.04.2005. Hierzu ebenfalls Stellungnahme des Europäischen Datenschutzbeauftragten zum Vorschlag für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit [KOM (2005) 490 endg.], ABlEU Nr. C 116/14 v. 17.5.2006.
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken
79
vor allem wo Informationen zu dem relevanten Vorgang in einem der Mitgliedstaaten vorliegen.45 Der Zugriff auf die Verweisdaten ist durch Zwischenschaltung der direkten Vorabanfrage insofern ein mittelbarer. Sind Informationen in einem der Mitgliedstaaten verfügbar, so wird der „ersuchenden“ Behörde ein Treffer angezeigt. Die informationssuchende Behörde kann sodann eine gezielte Informationsanfrage nach Art. 11 RB-E veranlassen, deren Bearbeitung durch die verfügungsberechtigte Behörde innerhalb von zwölf Stunden zu erfolgen hat. Gegebenenfalls kann hierbei eine vorherige Genehmigung der informationsführenden Behörde nach Art. 13 RB-E erforderlich werden. Kann die verfügungsberechtigte Behörde die angeforderte Information nicht oder nicht sofort bereitstellen, wandelt sich die Übermittlungsverpflichtung – wie im Rahmen der regulären Verweigerung der Informationsweitergabe – in eine Begründungspflicht gegenüber der gleichwertigen zuständigen Behörde: Die Gründe, warum die Informationen nicht übermittelt werden können, sind explizit anzugeben.46 Im Rahmen der Informationsanfrage kann von der informationsführenden Behörde indes die Informationsübermittlung auch vollständig verweigert werden, wenn ein Verweigerungsgrund des Art. 14 RB-E gegeben ist. Dies ist insofern möglich, wenn die Informationsweitergabe zu einer Gefährdung laufender Ermittlungen führen würde, die Informationsquelle oder die körperliche Unversehrtheit einer natürlichen Person (z. B. V-Leute) zu schützen ist, wenn die Information vertraulich ist und schließlich dann wenn die Maßnahme eine erhöhte datenschutzrechtliche Relevanz aufweisen würde. Zeigt der Onlineabruf der Indexdaten indes, dass keinerlei Informationen zu dem angefragten Sachverhalt vorliegen (kein Treffer), wird dieser Mangel an Information unmittelbar sichtbar, sodass sich langwierige Rechtshilfeprozeduren erübrigen. Die Funktionsweise des Systems wird verkürzt als Treffer/Kein-Treffer-System bezeichnet. Auch auf Informationen, welche online nicht verfügbar sind, soll ein Zugriff ermöglicht werden. Das Recht auf gleichberechtigten Zugang wird im Rahmen des Online-Zugriffs auf Indexdaten insofern durch ein Recht auf Unterrichtung47 über das Vorhandensein von Informationen, die online nicht verfügbar sind, ergänzt. Hierdurch werden gezielte, ergebnisorientierte Anfragen ermöglicht, da schon vor der Ausfertigung einer Informationsanfrage bekannt ist, ob die gesuchten Informationen verfügbar sind.48 Die Errichtung eines Systems mit Indexdaten bietet den Vorteil, dass die Mitgliedstaaten, aus denen die Informationen stammen, den Austausch derselbigen aus ihren Polizeidateien gezielt kontrollieren können49 .
45 Art. 10 Abs. 2 RB-E setzt als Mindestinhalt der Indexdaten fest, dass diese die Art der Information enthalten müssen auf die sie sich beziehen, sowie einen Verweis auf die Behörde, die in Bezug auf die Information verfügungsberechtigt ist oder die Anfrage abwickelt, sowie auf die Behörde, welche die Indexdaten zum Zwecke dieses Rahmenbeschlusses verwaltet. 46 Hierzu Art. 11 Abs. 3 S. 1 des Vorschlags für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit, KOM (2005) 490 endg., S. 20. 47 KOM (2005) 490 endg., S. 8. 48 KOM (2005) 490 endg., S. 4. 49 Stellungnahme des Europäischen Datenschutzbeauftragten zum Vorschlag für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit, ABlEU Nr. C 116/12 v. 17.05.2006.
80
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
c) Mangelnde Kenntnis ob und wo Informationen verfügbar sind Durch Registrierung der Anfragen und Datenübermittlungen lässt sich die Verarbeitung der Informationen zurückverfolgen, sodass diejenigen, deren Daten verarbeitet werden, gegebenenfalls wirksame Rechtsmittel einlegen können.50 d) Fehlen wirksamer Kontrollmechanismen – Datenschutz Die Ausweitung der Möglichkeiten des Informationsaustausches zwischen den Mitgliedstaaten erfordert ein Konzept des Datenschutzes, welches die Interessen derjenigen, deren personenbezogene Daten übermittelt, gespeichert und verwertet werden, hinreichend gewährleistet. Der Austausch personenbezogener Daten im Rahmen der polizeilichen Zusammenarbeit in Strafsachen, insb. nach dem Grundsatz der Verfügbarkeit, sieht sich aufgrund seiner datenschutzrechtlichen Relevanz unterschiedlichsten Interessenlagen ausgesetzt, deren Harmonisierung mitunter schwierig sein kann: Zunächst gilt es die zwischenstaatliche Kooperation durch den Aufbau gegenseitigen Vertrauens zu fördern und durch das Gleichwertigkeitskriterium eine Diskriminierung dieser Zusammenarbeit zwischen den Mitgliedstaaten auszuschließen. Hierbei muss zugleich jedoch ein umfassender Grundrechtsschutz der betroffenen Personen gewahrt bleiben und gesichert sein. Der RB-E enthält – abgesehen von einer Konkretisierung des Zweckbindungsgrundsatzes durch Art. 1 – keine speziellen Datenschutzregelungen. Vielmehr werden allgemeine Datenschutzregelungen durch den Verweis auf den Rahmenbeschluss 2008/977/JI des Rates über den Schutz personenbezogener Daten51 einbezogen, dessen Regelungen somit direkt auf den RB-E anzuwenden sind.52 Die durch den Rahmenbeschluss 2008/977/JI normierten Datenschutzprinzipien haben in folgender Form Einfluss in den Vorschlag des Verfügbarkeitsrahmenbeschlusses gefunden: • Rechtmäßige Verarbeitung und Qualität personenbezogener Daten Der Entwurf verlangt u. a. in Art. 2 Abs. 2, dass die Informationen rechtmäßig erhoben sein müssen. Gerade bei Anwendung des Grundsatzes der Verfügbarkeit fallen die informationsinnehabende Behörde und die informationssuchende Behörde auseinander, sodass zweitere auf ein rechtmäßiges Handeln der Behörde, welche die Daten und Informationen erhebt, angewiesen ist. Durch den Rahmenbeschlussentwurf wird den fremden Behörden ein unmittelbarer Zugang zu den Datenbanken anderer Mitgliedstaaten gewährt. Sind die abgerufenen Daten fehlerhaft, unvollständig oder aber auch überholt, so führt dies zu einem Zeitverlust, wenn nicht sogar zu einer Beeinträchtigung der Untersuchungen. Eine ständige Überprüfung und Pflege der Daten ist somit unumgänglich, um die Qualität der Daten zu garantieren.53 • Zweckbindung der Informationen Weiterhin obliegt der informationsersuchenden Behörde eine strenge Zweckbindung in Bezug auf die erhaltenen Informationen. Erhaltene Informationen sind ausschließlich zu 50
KOM (2005) 490 endg., S. 8. ABlEU Nr. L 350/60 ff. v. 30.12.2008. 52 Art. 8 RB-E, KOM (2005) 490 endg., S. 19; sowie S. 13, 5. Erwägungsgrund. 53 So auch EDSB, ABlEU Nr. C 116/16 v. 17.05.2006. Hierzu auch Art. 4 Abs. 1 RB 2008/977/JI, ABlEU Nr. C 116/16 v. 17.05.2006. 51
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken
81
dem Zweck zu verwenden, für den sie bereitgestellt wurden.54 Insofern gilt für die übermittelten Informationen der Spezialitätsgrundsatz, d. h. sie dürfen nur zur Verhütung, Aufdeckung und Untersuchung der Straftat verwendet werden (Art. 7).55 Die ersuchte Behörde ist angehalten, die Verwendung der Information an Bedingungen zu knüpfen; für die ersuchende Behörde sind diese Bedingungen sodann verbindlich.56 Die Informationen, welche infolge eines Zugriffs auf Indexdaten auf eine Informationsanfrage übermittelt werden, können mit Hinweisen versehen werden, um den Erfolg der laufenden Ermittlungen nicht zu gefährden, eine Informationsquelle oder die körperliche Unversehrtheit einer natürlichen Person oder die Vertraulichkeit von Informationen zu schützen (Art. 12 Abs. 1 lit. a–c).57 Eine Eingrenzung des Verwendungszwecks muss hierbei losgelöst von den Kompetenzen der jeweiligen Behörde erfolgen: Informationen, die von einer bestimmten Behörde für einen bestimmten Zweck erhoben und verarbeitet werden, können allein aufgrund der Tatsache, dass die Empfängerbehörde andere, vielleicht weiter reichende Kompetenzen hat, nicht für einen anderen Zweck erfolgen.58 • Speicherfristen und Protokollierung ausgetauschter Informationen Personenbezogene Informationen sind zu löschen oder zu anonymisieren, wenn sie für die Zwecke, für die sie rechtmäßig erhoben worden sind oder rechtmäßig weiter verarbeitet werden, nicht mehr erforderlich sind (Art. 4 Abs. 2 RB 2008/977/JI). Hierdurch kann eine unnötige Vervielfältigung der in den Datenbanken befindlichen Informationen verhindert werden.59 Zum Zwecke der Überprüfung der Rechtmäßigkeit der Datenverarbeitung, der Eigenüberwachung und der Sicherstellung der Integrität und Sicherheit der Daten trifft die Mitgliedstaaten eine Protokollierungs- und Dokumentationspflicht, wenn eine Übermittlung personenbezogener Daten vorgenommen wird (Art. 10 RB 2008/977/JI). Idealerweise ist eine Protokollierung sowohl auf Seite des Empfängerstaates als auch des Sendestaates vorzunehmen.60 • Schutz der Rechte des Betroffenen Durch die Einrichtung von Systemen für den Austausch von Informationen zwischen Strafverfolgungsbehörden der EU kann es zu mehreren zeitgleich verlaufenden Verarbeitungsvorgängen unterschiedlichster Mitgliedstaaten kommen.61 Aus der Anwendung des Rahmenbeschlusses 2008/977/JI resultiert die Verpflichtung der informationsaustauschenden Staaten, den Betroffenen, über den Informationen ausgetauscht werden, u. a. in Kennt54 KOM (2005) 490 endg., S. 13, Erwägungsgrund 10. Weiterhin Art. 3 Abs. 1 RB 2008/977/JI: „Personenbezogene Daten dürfen von den zuständigen Behörden nur zu festgelegten, eindeutigen und rechtmäßigen Zwecken im Rahmen ihrer Aufgaben erhoben und nur zu dem Zweck verarbeitet werden, zu dem die Daten erhoben worden sind. Die Verarbeitung der Daten muss rechtmäßig sein und den Zwecken entsprechen, für die sie erhoben werden, dafür erheblich sein und darf nicht darüber hinausgehen.“ 55 Böse, Grundsatz der Verfügbarkeit (2007), S. 48. 56 KOM (2005) 490 endg., S. 14, 15. Erwägungsgrund. 57 Böse, Grundsatz der Verfügbarkeit (2007), S. 48. 58 EDSB, ABlEU Nr. C 116/16 v. 17.05.2006. 59 EDSB, ABlEU Nr. C 116/16 v. 17.05.2006. 60 So auch die Forderung des EDSB, ABlEU Nr. C 116/16 v. 17.05.2006. Zudem Stellungnahme EDSB, ABlEU Nr. C 47/43 v. 25.02.2006, Rdn. 133. 61 EDSB, ABlEU Nr. C 116/16 v. 17.05.2006.
82
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
nis von der Informationsanfrage und der hieraus folgenden Antwort zu setzen.62 Insofern wird dem Betroffenen durch Art. 17 des Rahmenbeschlussentwurfes ein Auskunftsrecht eingeräumt. Weiterhin wurden in den Rahmenbeschlussentwurf auf Verlangen von Vertretern von Menschenrechtsorganisationen, des Europäischen Parlaments und der Datenschutzbehörden Vorgaben zur Rückverfolgbarkeit aufgenommen, um den Informationsaustausch für den Betroffenen transparenter zu gestalten.63 Hierdurch wird jeder einzelne Schritts des Austausches nachvollziehbar, sodass gegebenenfalls Rechtsmittel eingelegt werden können. Weiterhin wird dem Betroffenen ein Recht auf Berichtigung, Löschung oder Sperrung seiner personenbezogenen Daten eingeräumt (Art. 18 RB 2008/977/JI), welches im Falle der Nichtbeachtung oder einer rechtswidrigen Verwendung der Daten in ein Schadensersatzrecht (Art. 19 RB 2008/977/JI) mündet. • Kontrolle beteiligter Behörden Zusätzlich wird ein System von unabhängigen Kontrollstellen in den Mitgliedstaaten errichtet, welche die Rechtmäßigkeit des Handelns der beteiligten Akteure überwachen. Die Bestimmungen des Vorschlags über die Kontrolle und die Aufsicht der Datenverarbeitung sowie über die Konsultation zu Fragen im Zusammenhang mit der Datenverarbeitung orientieren sich an den Bestimmungen der Richtlinie 95/46/EG. Die Kontrollstellen haben zur Transparenz der Verarbeitungen in den Mitgliedstaaten beizutragen, denen sie unterstehen.64 Sie werden durch den Rahmenbeschluss mit einer Untersuchungs-, Einwirkungs- und Anzeigebefugnis bei Verstößen gegen die innerstaatlichen Vorschriften versehen. Zusätzlich erhalten die Mitgliedstaaten ein Klagerecht (Art. 25 Abs. 2 RB 2008/977/JI). e) Scheitern des Entwurfes Auch wenn der Vorschlag für den Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit aus Sicht der strafrechtlichen Praxis uneingeschränkt begrüßt wurde65 , scheiterte die Annahme dieses Vorschlages und auch auch seine Umsetzung ist kühne Vision ohne Aussicht auf Realisation geblieben.66 Mit Inkrafttreten des Vertrages von Lissabon und der Auflösung der Drei-Säulen-Architektur der EU wurde der Rechtsrahmen des Rahmenbeschlussentwurfes (ex-Art. 30 Abs. 1, 62
KOM (2005) 490 endg., S. 14 f., 20. Erwägungsgrund. Art. 16 des Vorschlags für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit, KOM (2005) 490 endg., S. 22. 64 Rahmenbeschluss 2008/977/JI des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, ABlEU Nr. L 350/63 v. 30.12.2008, 35. Erwägungsgrund. 65 Vgl. nur Stellungnahme des Deutschen Richterbundes zum Vorschlag für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit, KOM (2005) 490 endg., BR-Drs. 770/05. 66 Zweifel an der Annahme des Rahmenbeschlussentwurfes äußerte bereits der Europäische Datenschutzbeauftragte: „[Es ] ist [. . .] keineswegs selbstverständlich, dass der vorliegende Vorschlag oder das im Vorschlag enthaltene Verfügbarkeitskonzept letztendlich zur Annahme eines Rechtsakts führen wird. Zahlreiche Mitgliedstaaten plädieren nämlich für andere Konzepte.“, Stellungnahme des Europäischen Datenschutzbeauftragten zum Vorschlag für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit, ABlEU Nr. C 116/8 v. 17.05.2006. 63
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken
83
ex-Art. 34 Abs. 2 EUV) tiefgreifend verändert. Das Inkrafttreten des Lissabonner Vertrages wurde von der Kommission genutzt um den Entwurf formell zurückzuzziehen.67 Eine Ersetzung durch einen auf den neuen Rechtsrahmen angepassten Vorschlag bleibt abzuwarten und ist bisher durch die erfolgreiche Umsetzung des Prümer Vertrages nicht absehbar. Eine solche Entwicklung konnte erwartet werden, da der Rahmenbeschlussentwurf zur Umsetzung des Grundsatzes der Verfügbarkeit eine Vielzahl von Ungenauigkeiten und Mängeln aufwies. aa) Unbestimmter Anwendungsbereich des RB-E Sowohl von Seiten der Datenschützer als auch von mitgliedstaatlicher Seite wurden bereits Einwände in Bezug auf den Anwendungsbereich des RB-E erhoben. Ungeklärt erschien zunächst der Anwendungsbereich des Entwurfs. Einige Mitgliedstaaten68 beklagten den aus ihrer Sicht zu begrenzten zeitlichen Anwendungsbereich, welcher den präventiven Bereich der Arbeit der Strafverfolgungsbehörden, der nicht der Verhütung von Straftaten diente, ausklammerte. So sei es doch gerade der präventive Bereich der Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung, welcher einen wesentlichen Teil der klassischen polizeilichen Aufgabe der Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung darstelle.69 Insbesondere zu gefahrenabwehrrechtlichen Zwecken könne ein dringendes Bedürfnis für einen möglichst umfassenden Austausch polizeilicher Erkenntnisse bestehen.70 Entsprechend Art. 2 Abs. 1 soll der Rahmenbeschluss nur für die Verarbeitung von Informationen vor Einleitung einer Strafverfolgungsmaßnahme gelten. Eine Zusammenschau des Art. 2 Abs. 1 RB-E und der Begründung des Entwurfs führt somit zu dem Ergebnis, dass der Bereich der justiziellen Zusammenarbeit bewusst von dem Anwendungsbereich des RB-E ausgegrenzt werden sollte.71 Insbesondere unterliegen die Tätigkeiten der Polizeibehörden zur Aufdeckung und Untersuchung von Straftaten im Sinne von Art. 1 Abs. 1 des RB-E im deutschen Prozessrecht der Sachleitungsbefugnis der Staatsanwaltschaft, da diese Herrin des Ermittlungsverfahrens ist.72 Dies bedingt, dass jegliche polizeiliche Tätigkeiten von Beginn an Strafverfolgungsmaßnahmen darstellen.73 Bei Anwendung und Umsetzung des Rahmenbeschlussentwurfes wäre deutschen Ermittlungsbehörden der Zugriff auf ausländische Informationen hinsichtlich des repressiven Bereichs somit grundsätzlich verwehrt; der Anwendungsbereich des RB wäre im Wesentlichen nur für den Bereich der Verhütung von Straftaten eröffnet. Dem entgegengesetzt könnte indes von anderen Mitgliedstaaten, welche keine dem deutschen Recht entsprechende Organi67 Mitteilung der Kommission an das Europäische Parlament und den Rat, Auswirkungen des Inkrafttretens des Vertrags von Lissabon auf die laufenden interinstitutionellen Beschlussfassungsverfahren, KOM (2009) 665 endg., S. 3, Anhang 2, S. 2. 68 Allen voran sei auf den Beschluss des Deutschen Bundestages verwiesen, vgl. BT-Drs. 770/05 v. 21.12.2005, S. 4. 69 BR-Drs. 770/05 (Beschluss) v. 21.12.2005, S. 4. 70 BR-Drs. 770/05 (Beschluss) v. 21.12.2005, S. 4. 71 So das Verständnis des Bundesrates in BR-Drs. 770/05 (Beschluss) v. 21.12.2005, S. 4. Hustinx fordert daher zu Recht eine Klarstellung des zeitlichen Anwendungsbereichs des Rahmenbeschlusses, vgl. EDSB, ABlEU Nr. C 116/11 v. 17.05.2006. 72 BR-Drs. 770/05 (Beschluss) v. 21.12.2005, S. 4. 73 BR-Drs. 770/05 (Beschluss) v. 21.12.2005, S. 4.
84
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
sationsverteilung aufweisen, auf die in der BRD zur Verfügung stehenden Informationen zugegriffen werden.74 Konsequenz ist der Fortbestand unterschiedlicher Zugriffsrechte für gleichwertig anerkannte Behörden. Der Rahmenbeschluss kann in dieser Hinsicht seinem Anspruch, den bestehenden Hindernissen des Informationsaustausches zwischen den Mitgliedstaaten wirksam zu begegnen, nicht gerecht werden. Durch den RB-E blieb zudem auch die Frage ungeklärt, wann die erfassten Informationsarten als „vorhanden“ (Art. 3 lit. a RB-E) gelten. Es bleibt offen, ob Informationen nur dann als vorhanden gelten, wenn sie im unmittelbaren Besitz einer zuständigen Behörde sind (restriktives Verständnis) oder ob auch solche Informationen als vorhanden gelten, die potentiell durch Behörden erhalten werden können, sich jedoch im Besitz Privater befinden (extensives Verständnis).75 Für ein extensives Verständnis – also die Einbeziehung von Daten, welche sich im Besitz Privater befinden – spricht der Verweis des Art. 3 lit. a RB-E, wonach unter dem Terminus der Information vorhandene Informationen im Sinne des Anhang II des Entwurfs zu verstehen sind: So stehen weder KFZ-Halterermittlungen noch Telefonnummern und sonstigen Verbindungsdaten in der Verfügungsgewalt von Strafverfolgungsbehörden.76 Erstere unterliegen regelmäßig dem Zugriff durch Verwaltungsbehörden, zweitere befinden sich regelmäßig in der Hand privater Einrichtungen. Für ein restriktives Verständnis spricht der Wortlaut des Art. 2 Abs. 2 RB-E77 , wonach Informationen nicht ausdrücklich zum Zwecke ihrer Weitergabe zu sammeln sind und die Mitgliedstaaten nicht verpflichtet werden sollen, Informationen durch Zwangsmaßnahmen zu erheben. Die Anordnung von Zwangsmaßnahmen ist charakteristisch dem Rechtshilfeverfahren vorbehalten, welches jedoch ausdrücklich nicht durch den RB-E berührt werden soll (vgl. Art. 2 Abs. 4 RB-E). Um eine klare Abgrenzung des Anwendungsbereiches des RB-E gegenüber dem traditionellen Rechtshilfesystem vornehmen zu können, ist somit maßgeblich, ob aufgrund der Eingriffsintensität der mit der Leistung verbundenen Grundrechteingriffe weitergehende materiell-rechtliche oder verfahrensrechtliche Sicherungen erforderlich sind.78 Könnten die mitgliedstaatlichen Strafverfolgungsbehörden – unter Zugrundelegung eines extensiven Verständnisses – den unmittelbaren Zugriff auf Informationen, wie z. B. Telekommunikationsdaten, die bei Privaten gespeichert sind, verlangen, würden diese Maßnahmen ggü. den informationsinnehabenden Privaten einen zwangsmaßnahmenähnlichen Charakter erhalten. Zutreffend bemerken insofern Hustinx79 und Böse80 , dass immer dann, wenn die Eingriffsintensität eines solchen Informationszugriffs gegenüber dem privaten Anbieter einer herkömmlichen strafprozessualen Zwangsmaßnahme gleich komme, dies ausgleichend eine besondere Sicherung zum Schutz der Grundrechte des Betroffenen erforderlich werden ließe. Wolle man dem 74
BR-Drs. 770/05 (Beschluss) v. 21.12.2005, S. 5. Diese Frage wird auch durch den EDSB aufgeworfen. Vgl. Stellungnahme des Europäischen Datenschutzbeauftragten zum Vorschlag für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit, ABlEU Nr. C 116/10 v. 17.05.2006. Unproblematisch für ein extensives Verständnis hingegen Vermeulen et al., Availability (2005), S. 41. 76 So auch EDSB, ABlEU Nr. C 116/10 v. 17.05.2006. 77 So auch EDSB, ABlEU Nr. C 116/10 v. 17.05.2006. 78 Böse, EuZ 2007, S. 63. 79 EDSB, ABlEU Nr. C 116/11 v. 17.05.2006. 80 Böse, EuZ 2007, S. 63 mit Verweis auf Böse, Grundsatz der Verfügbarkeit (2007), S. 61 ff. 75
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken
85
RB-E somit ein extensives Verständnis der „verfügbaren Informationen“ zu Grunde legen, wären zusätzliche korrelierende materiell-rechtliche oder verfahrensrechtliche Garantien für den Schutz der personenbezogenen Daten vor der Annahme des RB-E zu schaffen.81 Bei einem extensiven Verständnis würden sodann weitere Fragen entstehen: Zum einen ist fraglich, ob der Rahmenbeschlussentwurf dann noch auf die Rechtsgrundlage des exArt. 30 Abs. 1 lit. b EUV (nunmehr Art. 87 Abs. 2 lit. a AEUV) gestützt werden kann oder nicht doch die Ermächtigungsgrundlage der justiziellen Zusammenarbeit in Strafsachen zu wählen gewesen wäre. Zum anderen würde durch die Einbeziehung der Informationen, welche sich bei privaten Anbietern befinden, der Rahmenbeschluss zum Schutz personenbezogener Daten keine Anwendung finden können, sodass u. U. die DatenschutzRichtlinie 95/46/EG Relevanz entfalten müsste, um ein Mindestmaß an Datenschutz für den Betroffenen garantieren zu können. Um diese Probleme zu vermeiden, sollten entsprechend den Ausführungen von Böse82 bei Privaten gespeicherte Informationen vom Grundsatz der Verfügbarkeit ausgenommen und einer besonderen Regelung vorbehalten werden. Darüber hinaus wurden verschiedentlich Einwände bzgl. bestimmter erfasster Informationsarten des RB-E erhoben. Insbesondere aus der Einbeziehung der besonders sensiblen personenbezogenen Informationskategorie der DNA-Profile, welche im Gegensatz zu DNA-Proben nach dem derzeitig wissenschaftlichen Stand keinen Aufschluss über die genetischen Merkmale einer Person enthalten und somit weniger invasiv wirken als der Austausch von vollständigen DNA-Mustern, erwachsen besondere grundrechtliche Gefährdungslagen. So mahnte Hustinx83 , dass zu beachten sei, dass DNA-Informationen per se als sog. „dynamische Informationen“ verstanden werden müssen: Zum jetzigen Zeitpunkt mag es noch nicht möglich sein, aus DNA-Profilen genetische Merkmale zu gewinnen, inwiefern diese Bewertung jedoch ihre Richtigkeit behält, bleibt angesichts des medizinischen Fortschritts abzuwarten. Dass der Einwand der Kommission84 , wonach einige Mitgliedstaaten derzeitig nicht über DNA-Datenbanken verfügen und somit ein Abgleich von DNA-Profilen in einem Großteil der Fälle unter Wahrung des Verhältnismäßigkeitsgrundsatzes nur über die Informationsanfrage nach vorgenommenen Treffer/Kein Treffer-System erfolgen könne, datenschutzrechtliche Bedenken zu entkräften vermag, kann bezweifelt werden.85 Eine Milderung schließt keinen Schaden aus, sondern gestaltet ihn lediglich erträglicher. Von deutscher Seite aus wurde durch den Bundestag86 zudem die fehlende Konturierung dessen, was unter der im Anhang II erfassten Informationsart der „ballistischen Erkenntnisse“ zu verstehen sei, bemängelt.
81
EDSB, ABlEU Nr. C 116/11 v. 17.05.2006. Böse, EuZ 2007, S. 63. 83 So der EDSB, ABlEU Nr. C 116/14 v. 17.05.2006. 84 Mitteilung der Kommission an den Rat und das Europäische Parlament über die Verbesserung der Effizienz der europäischen Datenbanken im Bereich Justiz und Inneres und die Steigerung ihrer Interoperabilität sowie der Synergien zwischen ihnen, KOM (2005) 597 endg., S. 12. 85 21. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit für 2005/2006, S. 23. 86 BR-Drs. 770/05 (Beschluss) v. 21.12.2005, S. 9. 82
86
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
bb) Möglichkeiten des Zugriffs auf Informationen (1) Direkter Zugriff Interoperabilität der Informationssysteme ist eine wesentliche Vorbedingung für das Funktionieren des direkten Zugriffs auf Informationen. Mit der Angleichung der bestehenden Informationssysteme und der größeren Anzahl von Personen, denen der Zugang ermöglicht wird, entstehen prototypische datenschutzrechtliche Problemkonstellationen: Mit einem Anstieg der Zugriffszahlen wäre zwangsläufig zu rechnen, welche eine Erhöhung des Missbrauchsrisiko der verfügbaren Informationen nach sich ziehen würde.87 Begünstigt wird dies insb. durch den Umstand, dass der RB-E sog. gleichwertigen Behörden Zugriffsrechte einräumt, wobei die Gleichwertigkeit der Behörden ohne parlamentarische Kontrollmöglichkeiten im Wege eines Komitologieverfahrens festgelegt werden soll. Kann eine nationale Behörde demnach Informationen erlangen, welche sie nach innerstaatlichem Recht nicht erhalten könnte?88 Der Gewährung eines unmittelbaren Zugriffs durch gleichwertige Behörden der Mitgliedstaaten ist eng mit der Gefahr eines Kontrollverlustes durch die Behörde verknüpft, aus deren System die Informationen stammen. Auf eine Kontrolle des Zugriffs wird im Rahmen des Rahmenbeschlussvorschlages bewusst verzichtet, da der Grundsatz der Verfügbarkeit doch gerade an eine abgeschwächte Form des Grundsatzes der gegenseitigen Anerkennung anknüpft. Die Rechtmäßigkeit des Handelns wird den zugreifenden fremdmitgliedstaatlichen Behörden im Rahmen eines gegenseitigen Vertrauensverhältnisses unterstellt und lässt daher das Erfordernis einer Kontrolle entbehrlich werden. In der praktischen Umsetzung des Verfügbarkeitsgrundsatzes kann dieser Kontrollverlust der informationsinnehabenden Behörde schwerlich mit datenschutzrechtlichen Grundprinzipien in Einklang gebracht werden89 : Die Verweigerungsgründe des Art. 14 des Entwurfs drohen unterlaufen zu werden. Eine Aktualisierung der im System befindlichen Informationen kann nach Abruf derselbigen nicht gewährleistet werden und die Datenschutzbehörde des informationsinnehabenden Staates kann die Einhaltung datenschutzrechtlicher Garantien nicht überwachen, da sie nicht für die Strafverfolgungsbehörden anderer Mitgliedstaaten zuständig ist. Die durch den RB-E vorgesehenen Regelungen genügen insofern zwar den Grundsätzen der Zweckbindung sind jedoch insb. im Hinblick auf den Grundsatz der Datensparsamkeit und der Datenrichtigkeit ungenügend. Zwar stellt die Übertragung eines direkten Online-Zugangs nach deutschem Recht keine verfassungswidrige Übertragung von Hoheitsrechten dar90 , birgt aber die Gefahr, dass die grundrechtlich gebotenen Schranken des Informationsaustausches abgesenkt oder gar völlig unterlaufen werden, denn dem übermittelnden Staat ist es aufgrund der automatischen Übermittlung unmöglich zu überprüfen, ob die Übermittlung mit den Grundrechten des Betroffenen insb. mit dem europäischen ordre public, vereinbar ist.91 Bei Gewährung 87
EDSB, ABlEU Nr. C 116/11 v. 17.5.2006. Mitsilegas, European Criminal Record (2008), S. 328. 89 Zum Folgenden auch EDSB, ABlEU Nr. C 116/12 v. 17.5.2006. 90 Hierzu Böse, Grundsatz der Verfügbarkeit (2007), S. 133 ff. 91 Böse, EuZ 2007, S. 66; Böse, Grundsatz der Verfügbarkeit (2007), S. 137 ff.; Meyer, NStZ 2008, S. 192. 88
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken
87
eines direkten Online-Zugangs tritt der enge Zusammenhang zwischen dem Grundsatz der Verfügbarkeit und dem Grundsatz gegenseitiger Anerkennung deutlich hervor. Innerhalb des RB-Entwurfes wird sowohl die Rechtmäßigkeit des Handelns der fremdstaatlichen Behörden fingiert, als auch der gleichwertige Schutz der Informationen unterstellt. Die Ausbildung des dafür notwendigen Vertrauens oder einer hinreichenden Harmonisierung des Datenschutzrechtes in der EU kann jedoch nicht einfach vermutet werden.92 Wie bereits dargestellt, müssen datenschutzrelevante Maßnahmen, um im Einklang mit dem Verhältnismäßigkeitsgrundsatz sein zu können, sowohl geeignet, als auch erforderlich und angemessen sein, um das legitime Ziel – hier die Schaffung des Raumes der Freiheit, der Sicherheit und des Rechts – zu erreichen. Basierend auf dem Gleichwertigkeitskriterium der beteiligten Behörden soll durch den Vorschlag ein Netzwerk nationaler Datenbanken geschaffen werden, ohne dass jedoch konkrete Zugangsregelungen festgesetzt werden. Die nur enumerativ genannten Verweigerungsgründe werden in das Ermessen der beteiligten Behörden gestellt, wobei erschwerend keine Differenzierung nach der Art der verfügbaren Informationen vorgenommen wird.93 Insbesondere scheint fraglich, ob die direkte Zugriffsmöglichkeit auf verfügbare Informationen das Angemessenheitskriterium des Verhältnismäßigkeitsgrundsatzes zu erfüllen vermag. Maßstab muss hierbei die Frage bilden, ob ein Gleichgewicht zwischen dem Eingriff in das Datenschutzrecht und dem durch den Gesetzgebungsakt verfolgtem Ziel besteht. Es entspricht allg. Ansicht94 , dass ein Eingriff in Art. 8 GRC angemessen und somit gerechtfertigt sein kann, wenn hierdurch schwere Straftaten verhindert werden können. Dies bedeutet jedoch nicht, dass die Daten zugleich auch für die Bekämpfung geringfügiger Vergehen zur Verfügung stehen dürfen. Der RB-E verzichtet vollständig auf eine Differenzierung nach Deliktsarten. Ein direkter Zugriff wird von der Schwere der Straftat lösgelöst, wenn die Informationsart zu dem entscheidenden Kriterium des Zugriffes erhoben wird. Inwiefern eine fehlende Differenzierung anhand eines Straftatenkataloges das Angemessenheitskriterium des Verhältnismäßigkeitsgrundsatzes zu wahren vermag, kann angezweifelt werden. Befinden sich Informationen in dem Netzwerk, kann über diese frei verfügt werden. Der Betroffene sieht sich der Gefahr exzessiver Zugriffe in Form von sog. fishing expeditions und der beliebig wiederholbaren Weitergabe seiner personenbezogener Daten ausgesetzt.95 Vermeulen schlägt daher vor, bei der Entscheidung, ob ein direkter Zugriff zu gewähren ist, nicht die ersuchte Informationsart, sondern vielmehr die Art der Straftat zu berücksichtigen, in deren Rahmen Informationen ausgetauscht werden sollen.96 Nach seiner Ansicht sei der direkte Zugriff lediglich auf Informationsersuchen zu beschränken, welche im Rahmen der Ermittlung schwerer Straftaten gestellt werden. Maßgebliches Kriterium für die Schwere einer Straftat sei hierbei der Straftatenkatalog des Art. 16 Abs. 2 der Europäischen Beweisanordnung. Nur auf diese Weise seien die
92
So auch Meyer, NStZ 2008, S. 192 m.w.N. Meyer, NStZ 2008, S. 192. 94 Hierzu Beschlüsse der Europäischen Datenschutzkonferenz Zypern, 10./11. Mai 2007: Erklärung zum gemeinsamen Standpunkt der Europäischen Datenschutzkonferenz über die Anwendung des Verfügbarkeitsprinzips bei der Strafverfolgung. 95 Meyer, NStZ 2008, S. 192. 96 Vermeulen et al., Availability (2005), S. 38. 93
88
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
weitreichenden Auswirkungen des Grundgedankens der gegenseitigen Anerkennung mit dem Verhältnismäßigkeitsprinzip in Einklang zu bringen.97 Ein weiteres Problem eines direkten Informationsaustausches zwischen den mitgliedstaatlichen Behörden erwächst auch aus den bestehenden Sprachbarrieren. Eine denkbare Lösung könnte durch die Übersetzung der Anfrage in die offizielle Amtssprache des ersuchten Staates bzw. in eine der Amtssprachen der EU erreicht werden.98 Eine solche Lösung wäre an die Regelung des Art. 5 des Entwurfes des Europäischen Haftbefehls angenährt, welcher jedem Mitgliedstaat die Möglichkeit einräumt, eine Erklärung darüber abzugeben, in welcher Sprache Anfragen erwünscht bzw. akzeptiert werden. (2) Indirekter Zugriff auf Indexdaten Dementgegengesetzt stieß die Regelung eines indirekten Zugriffs auf Indexdaten bei online nicht verfügbaren Informationen auf fast ausschließlich positive Rückmeldung. In der Annahme, dass ein mittelbarer Zugriff auf nicht online verfügbare Informationen ein begrüßenswertes Konzept sei, wurde dennoch von Seiten des ESDB gefordert, dass dessen Umsetzung genauer im Rahmen von Durchführungsbestimmungen geregelt werden müsse. Insbesondere für solche Konstellationen, in denen Fachwissen zur Interpretation der Indexdaten notwendig werden könne, solle in dem Rahmenbeschlussvorschlag die Rolle der nationalen Kontaktstellen in Bezug auf die Indexdaten deutlicher hervor gehoben werden.99 Dies sind jedoch außerhalb des Rahmenbeschlusses liegenden Begleitmaßnahmen, deren Optimierung und Abwicklung keinerlei Relevanz für die Beurteilung der Qualität des Rahmenbeschlusses selbst zur Umsetzung des Grundsatzes der Verfügbarkeit zulassen können. Es muss hierbei bedacht werden, dass die informationsinnehabende Behörde durch die Informationsanfrage aktiv eine Kontrollmöglichkeit eingeräumt bekommt, welche Behörde auf spezifische Informationen zugreifen will. An eben einer solchen Kontrollmöglichkeit fehlt es bei einem direkten Online-Zugriff. Ein weiterer Vorteil eines Indexsystems ist in dem damit einhergehenden Schutz personenbezogener Daten zu sehen. Zwar kann eine Abfrage von Indexdaten Aufschluss darüber ergeben, dass Daten zu einer Person im Zusammenhang mit Straftaten in einer Polizeidatei gespeichert sind100 , hierbei sollte jedoch gesehen werden, dass jeglicher Informationsaustausch die Interessen des Betroffenen berührt. Die Beschränkung auf eine Überprüfung durch das Treffer/Kein Treffer-System gewährt jedoch die vollständige Einhaltung des Grundsatzes der Verhältnismäßigkeit.101 Insbesondere ist im Rahmen der Angemessenheitsprüfung zu berücksichtigen, dass sich durch die Gewährung eines indirekten Zugriffs der Informationsaustausch erheblich beschleunigen lässt, ohne dass der Schutz der Grundrechte des Betroffenen vernachlässigt wird und hierunter besondere Betroffe-
97
Vermeulen et al., Availability (2005), S. 38. So der Vorschlag von Vermeulen et al., Availability (2005), S. 29. 99 Vgl. EDSB, ABlEU Nr. C 116/12 v. 17.5.2006. 100 Vgl. ABlEU Nr. C 116/12 v. 17.5.2006. Nach Ansicht des EDSB stellt dies ein „hoch sensibles Ergebnis“ dar. 101 Mitteilung der Kommission an den Rat und das Europäische Parlament über die Verbesserung der Effizienz der europäischen Datenbanken im Bereich Justiz und Inneres und die Steigerung ihrer Interoperabilität sowie der Synergien zwischen ihnen, KOM (2005) 597 endg., S. 12. 98
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken
89
neninteressen verletzt werden.102 Ungeachtet dessen muss es dennoch Grundbedingung für das Funktionieren dieses Konzepts bleiben, dass der ersuchende Staat nicht bereits vor Abruf der Indexdaten verwertbare Informationen erlangt. Böse ist somit zuzustimmen, dass es erforderlich sei, dass der ersuchende Staat tatsächlich auf die anschließende Informationsanfrage angewiesen ist.103 (3) Einbindung von Europol Zudem wirft auch die Einbindung von Europol in den RB-E und die damit verbundene Gleichstellung mit den nationalen Strafverfolgungsbehörden zahlreiche Fragen auf. Der Rechtsnatur einer Europäischen Agentur entsprechend verfügt Europol über keine eigenen Ermittlungs- oder Exekutivbefugnisse. Den Europolbediensteten ist die Anwendung von Zwangsmaßnahmen verwehrt; selbige sind den Beamten des Staates auf dessen Hoheitsgebiet die Maßnahme erfolgt vorbehalten.104 Eine Gleichstellung Europols mit den nationalen Behörden ist insofern verfehlt. f) Verweigerungsgründe einer Informationsübermittlung Während der RB-E den direkten Informationszugriff als Regelfall vorsieht, wird durch Art. 14 RB-E eine Reihe einheitlicher Verweigerungsgründe geschaffen, bei deren Vorliegen der informationsführende Staat die Informationsweitergabe unterbinden kann. Eine rege Diskussion wurde insb. darüber entfacht, ob diese Gründe aus einer betroffenenfreundlichen Perspektive heraus ergänzungsbedürftig sind oder aber zu weitreichend sind, um eine Verfügbarkeit der Informationen zu gewährleisten. So ermöglicht es der RB-E eine Informationsübermittlung zu verweigern, um die Vertraulichkeit der angefragten Informationen zu schützen (Art. 14 Abs. 1 lit. c). Der Grundsatz der Verfügbarkeit in seinem Kerngedanken strengt eine Aufgabe der Informationshoheiten der beteiligten Mitgliedstaaten zugunsten einer gemeinsamen effektivierten polizeilichen Zusammenarbeit an. Dies ist insofern ein revolutionäres Konzept, als dass bis dahin bestehende einzelstaatliche Souveränitäten teilweise aufgegeben werden. Wird es dem informationsinnehabenden Staat nunmehr ermöglicht, auf Basis allgemeiner, nicht näher bestimmter Vertraulichkeitserwägungen eine Übermittlung zu verweigern, erhält diese Regelung insofern einen generalklauselartigen Charakter, welcher wesentlichen Zielsetzungen des Verfügbarkeitsgrundsatzes – den direkten Austausch und die Mobilität von Daten – vollständig entgegenlaufen könnte. Vertraulichkeitserwägungen werden somit zum Antipoden des im Verfügbarkeitsgrundsatz enthaltenen Vertrauensprinzips; die Mitgliedstaaten könnten sich indirekt auf ihre Hoheitsrechte zurückberufen und dementsprechend Informationsübermittlungen ablehnen. Zu Recht wurde von Seiten der Literatur105 eine Präzisierung dieses Verweigerungsgrundes gefordert. Versteht man den Grundsatz der Verfügbarkeit im Sinne der hier vertretenen Auffassung als Abbild des Rechts auf gegenseitige Anerkennung auf der Ebene des zwischen102 103 104 105
So Böse, EuZ 2007, S. 66. So auch die Forderung von Böse, EuZ 2007, S. 66. Schenke, POR (2011), Rdn. 467. Mitsilegas, European Criminal Record (2008), S. 328. Siehe beispielhaft Böse, EuZ 2007, S. 65.
90
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
staatlichen Informationsaustausches, so könnten die im RB-E enthaltenen Verweigerungsgründe jedoch ergänzungsbedürftig sein. Denkbar wäre es zunächst, einen möglichen Verweigerungsgrund einer Informationsermittlung in dem ne bis in idem-Grundsatz zu sehen, welcher einer der wesentlichen Verweigerungsgründe im Rahmen des Prinzips der gegenseitigen Anerkennung bildet. So sollte es möglich sein die Informationsübermittlung zu verweigern, wenn z. B. eine Person, über die Informationen ersucht werden, bereits in dem ersuchten Staat für denselben strafrechtlich relevanten Sachverhalt abgeurteilt wurde und abzusehen ist, dass der ersuchende Staat zum gleichen Zweck seine Informationsanfrage stellt.106 Der ne bis in idem-Grundsatz bildet den wohl bekanntesten Verweigerungsgrund der Rechtshilfe im Allgemeinen und der Auslieferung im Besonderen. Bei einem Verständnis des Grundsatzes der Verfügbarkeit als Abbild des Grundsatzes der gegenseitigen Anerkennung innerhalb der polizeilichen Zusammenarbeit sollte dies a fortiori als Verweigerungsgrund einer Informationsanfrage Berücksichtigung finden.107 Anknüpfend an das im Verfügbarkeitsgrundsatz enthaltene Vertrauen in das rechtmäßige Handeln fremdstaatlicher Behörden ist es zudem denkbar, eine Ergänzung der Verweigerungsgründe insb. nach Maßgabe des völkerrechtlichen Spezialitätsgrundsatzes108 vorzunehmen, nach dessen Inhalt eine Verhinderung einer Straftat nur zu dem Zwecke erfolgen dürfte, aufgrund dessen auch der Informationsaustausch erfolgte. Auf diesem Wege wäre es möglich, völkerrechtlich begründeten Übermittlungshindernissen zu der notwendigen Beachtung zu verhelfen. Schließlich ist zu vermerken, dass es in das Ermessen der informationsinnehabenden Mitgliedstaaten gestellt wird, die Verweigerungsgründe geltend zu machen und diese Verweigerung gegenüber dem informationssuchenden Staat zudem gesonderte Rechtfertigungsverpflichtungen entstehen lässt. Dies erscheint vorallem aus datenschutzrechtlicher Perspektive als besorgniserregend109 : Es kann davon ausgegangen werden, dass die Informationsverweigerung auf diesem Wege eher eine Ausnahme bleibt, während die Informationsweitergabe die Regel bildet. Eine ungenügende Berücksichtigung der Interessen des Betroffenen bei zeitgleicher Überbewertung öffentlicher Strafverfolgungsinteressen ist absehbar. g) Kein einheitliches Verfahren trotz Genehmigungspflichten Wie bereits dargestellt, bindet Art. 13 Abs. 2 RB-E die Verwendung der erhaltenen Informationen als Beweismittel für das Vorliegen einer Straftat an einen Zustimmungsvorbehalt der Justizbehörde des ersuchten Staates. Hierbei ist zu bemerken, dass diese Norm inhaltsgleich mit Art. 39 Abs. 2 SDÜ ist. Angesichts des Reformbedarfes des Art. 39 Abs. 2 SDÜ110 und den hierbei geäußerten Kritikpunkten gilt es diese als Maßstab der Bewertung des Art. 13 Abs. 2 RB-E heranzuziehen. 106 Eine solche Ergänzung der Verweigerungsgründe der Informationsermittlung schlägt Vermeulen et al., Availability (2005), S. 41 vor. 107 Vermeulen et al., Availability (2005), S. 41. 108 Dieser Gedanke ist angedacht, jedoch ohne weitere Ausführung bei Böse, EuZ 2007, S. 65. 109 Kritik auch bei Meyer, NStZ 2008, S. 192; Bigo et al., Principe (2007). 110 Zu dem Reformbedarf des Art. 39 Abs. 2 SDÜ vgl. überblicksmäßig Bundesministerium des Inneren, Schengen Erfahrungsbericht 2003, S. 8.
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken
91
Ein nahezu standardisierter Einwand gegen den Justizvorbehalt im Rahmen der Verwertung von Informationen als Beweismittel entsteht zunächst aus der hiermit einhergehenden Verzögerung des Verfahrens. Ungeachtet dessen, dass jegliche Genehmigungserfordernisse eine justizförmige Verfahrenskontrolle ermöglichen, verhindern sie zugleich einen zeitnahen und zügigen Informationsaustausch. Eine Beschleunigung des Verfahrens wird durch selbige gerade nicht erreicht. Die Ressourcen der Strafverfolgungsbehörden sind knapp, sodass die Forderung erhoben wird, Strafverfolgungsbehörden für die drängenden Probleme der Kriminalitätsbekämpfung einzusetzen und eine unnötige Bindung durch Genehmigungsvorbehalte zu vermeiden.111 Infolgedessen wurde insb. durch den Bundesrat angenommen, dass ein solcher Zustimmungsvorbehalt die Intention eines unmittelbaren Informationsaustausches im Sinne des Haager Programms unterlaufe112 . Eine solche Argumentation vermag jedoch wenig Überzeugungskraft zu entfalten. Weder Art. 13 Abs. 2 des Entwurfes noch Artikel 39 Abs. 2 SDÜ schreiben vor, in welcher Form die Zustimmung der Justizbehörde zur Einführung von Schriftstücken als Beweismittel einzuholen ist. Das Verfahren zur Erlangung der Zustimmung unterliegt der Ausgestaltung durch die Vertragsstaaten.113 Im Anwendungsbereich des Art. 39 Abs. 2 SDÜ stimmen die Schengen-Staaten überein, dass die Strafverfolgungsbehörden bei der Wahl der verwendeten Übermittlungsmedien einen Spielraum bzgl. des verwendeten Mittels haben. So ist es den beteiligten Staaten freigestellt, jegliche Kommunikationswege zu verwenden, welche eine schnelle Übermittlung ermöglichen. Hierbei muss jedoch sichergestellt sein, dass die Übermittlungsart eine schriftliche Spur über die Urheberschaft – z. B. per Telefax oder per Email – hinterlässt.114 Gegebenenfalls ist hierbei die Staatsanwaltschaft nachrichtlich zu beteiligen. Die eintretende Verzögerung des Verfahrens kann insofern abgemildert werden. Darüber hinausgehend wurde kritisiert, dass bestehende mitgliedstaatliche kompetenzrechtliche Zugriffsunterschiede bei Heranziehung eines Genehmigungserfordernisses verstärkt werden könnten und somit ein europaweit einheitliches Verfahren eines Informationsaustausches in der Praxis durch den RB-E gerade nicht erreicht werden könne.115 So wird den Polizeibehörden nicht in allen Mitgliedstaaten ein autonomes Zugriffsrecht auf die erfassten Informationskategorien eingeräumt. Insbesondere ist im deutschen Recht die
111 Schengen-Besitzstand – Beschluss des Exekutivausschusses vom 28. April 1999 bezüglich der Verbesserung der polizeilichen Zusammenarbeit bei der Verhütung und Aufklärung strafbarer Handlungen (SCH/Com-ex (99) 18), ABl. Nr. L 239/421 v. 22. 09. 2000. Ebenso Bundesministerium des Inneren, Schengen Erfahrungsbericht 2003, S. 7. 112 So der Bundesrat in BR-Drs. 770/05, S. 2. 113 Schengen-Besitzstand – Beschluss des Exekutivausschusses vom 28. April 1999 bezüglich der Verbesserung der polizeilichen Zusammenarbeit bei der Verhütung und Aufklärung strafbarer Handlungen (SCH/Com-ex (99) 18), ABl. Nr. L 239/421 v. 22. 09. 2000. 114 Schengen-Besitzstand – Beschluss des Exekutivausschusses vom 28. April 1999 bezüglich der Verbesserung der polizeilichen Zusammenarbeit bei der Verhütung und Aufklärung strafbarer Handlungen (SCH/Com-ex (99) 18), ABl. Nr. L 239/421 v. 22. 09. 2000. 115 EDSB, ABlEU Nr. C 116/12 v. 17.5.2006 mit Verweis auf die Auswertung der Antworten auf den Fragebogen zum Rahmenbeschluss über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der EU, insb. in Bezug auf schwerwiegende Straftaten einschließlich terroristischer Handlungen (Dok. des Rates 5815/1/05).
92
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
Sachleitungsbefugnis der Staatsanwaltschaft zu wahren116 ; nur ausnahmsweise – beispielhaft in Eilfällen oder auf Basis bestehender grenzüberschreitender bilateraler Verträge – können durch Polizeibehörden Informationen auf direktem Wege ausgetauscht werden. Demnach ist es oftmals geboten, die Staatsanwaltschaft vor einem Informationsaustausch einzubeziehen, z. B. damit diese ihre Koordinierungsfunktion bei parallelen Ermittlungsverfahren in mehreren Mitgliedstaaten wahrnehmen kann und hierdurch ein hinreichender Datenschutz des Betroffenen gesichert ist.117 Infolgedessen tritt eine unvermeidbare Verzögerung des Informationsaustausches ein. Der Entwurf des Rahmenbeschlusses ist daher eher auf ein Konzept der verzögerten Verfügbarkeit von Informationen angelegt. Insbesondere kann durch den RB-E lediglich eine Verbesserung des Informationsaustausches für die dem sachlichen Anwendungsbereich unterfallenden Informationsarten erreicht werden. Das geltende Rechtshilferecht könne indes den Anforderungen an eine effektive Zusammenarbeit der Polizeibehörden nicht mehr gerecht werden, da insb. eine rechtliche Verankerung des diagonalen Dienstverkehrs, also des Austausches von Informationen zwischen Polizei- und Justizbehörden, fehle.118 Boese schlägt insofern vor, den RB-E in der Art zu ergänzen, als dass durch selbigen der diagonale Rechtshilfeverkehr zwischen Polizei- und Justizbehörden eröffnet werden solle.119 Auf diese Weise könne dem Bedürfnis einer justiziellen Entscheidung bereits bei der Übermittlung Rechnung getragen werden, sodass die Regelung des Art. 13 Abs. 2 des Rahmenbeschlussentwurfes, wonach für eine Verwertung der Information als Beweismittel die Zustimmung der Justizbehörde einzuholen ist, entbehrlich werde.120 h) Datenschutz Der durch den Rahmenbeschluss einbezogene Rahmenbeschluss über den Schutz personenbezogener Daten, die im Rahmen der strafrechtlichen Zusammenarbeit verarbeitet werden121 , ist grundsätzlich geeignet, in Bezug auf die nach dem Grundsatz der Verfügbarkeit übermittelten Informationen einen angemessenen Datenschutzstandard zu gewährleisten.122 Ein Defizit stellen jedoch die zu weit beschränkten Rechte des Betroffenen und die unzureichende Regelung für besonders sensible Informationen, wie z. B. DNAInformationen, dar.123 Weder wird eine Einschränkung auf bestimmte Deliktsarten, noch eine Differenzierung nach der von dem Datenaustausch Betroffenen vorgenommen. Eine solche Diffenzierung ist jedoch im Hinblick auf den aus Art. 8 GRC erwachsenden Verhältnismäßigkeitsgrundsatz zwingend erforderlich. Es ist insb. der Grundsatz der Datensparsamkeit, welcher eine Eingrenzung auf spezifische Straftaten erfordert. Darüber 116 Siehe § 160 der deutschen Strafprozessordnung. Dazu Fawzy, Errichtung Eurojust (2005), S. 123 ff. 117 Böse, EuZ 2007, S. 65. 118 Innenministerium Baden-Württemberg, Bericht des Ländervertreters im Ausschuss nach Artikel 36 EUV über die Beteiligung der Länder in Angelegenheiten der Europäischen Union im Jahr 2005 v. 15.3.2006, S. 28. 119 Vgl. Böse, EuZ 2007, S. 65 und vertieft bei Böse, Grundsatz der Verfügbarkeit (2007), S. 129 ff. 120 Böse, EuZ 2007, S. 65 m.w.N. 121 KOM (2005) 475 endg. 122 Vgl. Stellungnahme des EDSB, ABl. Nr. C 47 v. 25.02.2006, S. 27 ff.; Böse, EuZ 2007, S. 63. 123 Böse, EuZ 2007, S. 63. Vertieft hierzu Böse, Grundsatz der Verfügbarkeit (2007), S. 87 ff.
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken
93
hinausgehend müssen besondere Garantien für die Verarbeitung von Daten Nichtverdächtiger geschaffen werden. Eine Unterscheidung zwischen den verschiedenen Kategorien der durch den Datenaustausch betroffenen Personen (mutmaßliche Straftäter, Opfer, Zeugen usw.) ist im Lichte des Verhältnismäßigkeitsgrundsatzes zwingend notwendig. Es gilt, dass die Anforderungen für einen zwischenstaatlichen Datenaustausch umso restriktiver und schutzintensiver ausgestaltet sein müssen, je entfernter der Bezug zwischen der Straftat, aufgrund derer der Austausch erfolgte, und dem Betroffenen, dessen Daten ausgetauscht werden, ist. Auch wenn durch die Festsetzung der Rückverfolgbarkeit jedes einzelnen Schritts der Informationsweitergabe durch den Vorschlag festgeschrieben wird, so wird die Überprüfung der Einhaltung der datenschutzrechtlichen Vorschriften nur schwer möglich sein.124 Eine gerichtliche Überprüfung wird durch die nationalen Gerichte gewährleistet werden müssen. Hierdurch tritt eine Gefährdung des nach Art. 8 GRC einzuhaltenden Auskunftsanspruches ein, welcher Grundvoraussetzung sämtlicher durch Art. 8 GRC festgesetzter Folgeansprüche des Betroffenen ist. Weiterhin fehlt es an einem effektiven Rechtsschutz gegen Datenverarbeitungsmaßnahmen von Europol.125 Der Informationsaustausch nach dem Grundsatz der Verfügbarkeit basiert auf einem gleichwertigen Datenschutzniveau der beteiligten Akteure; es muss daher sichergestellt sein, dass diese Vorgaben nicht nur in den Mitgliedstaaten, sondern eben auch bei den europäischen Institutionen umgesetzt sind, bevor es zu einem Informationsaustausch nach dem Grundsatz der Verfügbarkeit kommt.126 2. Erstmaliges Scheitern des Verfügbarkeitsgrundsatzes Die vorgenommene Bewertung des Rahmenbeschlussentwurfes lässt eines deutlich hervortreten: Ein Großteil der typischen Hindernisse des zwischenstaatlichen Informationsaustausches bleiben bestehen, sodass nicht von einer vorbehaltlosen Umsetzung der vollständigen Verfügbarkeit strafrechtlich relevanter Informationen gesprochen werden kann. Gerade deshalb wurden innerhalb der Geltungszeit des Haager Programms mehrere Vorschläge zur Umsetzung des Informationsaustausches auf Basis des Grundsatzes der Verfügbarkeit auf den Weg gebracht, welche Elemente des Verfügbarkeitsgrundsatzes aufnehmen, einschränken und erweitern. Insbesondere mit Annahme des Datenaustausches nach dem Prümer Modell und der Rücknahme des RB-Entwurfes durch die Kommission mit Inkrafttreten des Lissabonner Vertrages127 kann dem Rahmenbeschlussentwurf nur noch eine bloße Impulsfunktion für 124 Stellungnahme des Deutschen Richterbundes zum Vorschlag für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit, KOM (2005) 490 endg./BR-Drs. 770/05. 125 Böse, EuZ 2007, S. 64, Fn. 23; Fawzy, Errichtung Eurojust (2005), S. 190 ff.; Frowein/Krisch, JZ 1998, S. 589 ff.; Paeffgen, in: Wolter, SK StPO, Art. 1 EMRK, Rdn. 38; Kröger, Europol (2004), S. 127 ff., S. 167 ff. 126 Vgl. Böse, EuZ 2007, S. 64. 127 Mitteilung der Kommission an das Europäische Parlament und den Rat, Auswirkungen des Inkrafttretens des Vertrags von Lissabon auf die laufenden interinstitutionellen Beschlussfassungsverfahren, KOM (2009) 665 endg., S. 3, Anhang 2, S. 2.
94
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
eine Neuregelung der Informationshilfe zuteil werden.128 Dennoch kann dem Rahmenbeschlussentwurf seine Wirkung als „Ausgangspunkt der Expedition Informationsaustausch“ nicht abgesprochen werden. Die doppelte Abstufung von direkten Online-Zugriff und indirekten Zugriff mittels des Abrufes von Indexdaten bietet zumindest eine gelungene Grundlegung, um Rechte des Betroffenen zu stärken und Friktionen im Verhältnis zwischen polizeilicher und justizieller Zusammenarbeit zu beseitigen. Dieser Weg wurde durch weitere Rechtssetzungsvorhaben der EU – allen voran durch das Prümer Modell – beschritten.
II. Das „Schleusenmodell“ Entgegen dem obig dargestellten Datenpoolmodell kann die Umsetzung des Grundsatzes der Verfügbarkeit auch durch einen Rückgriff auf die herkömmlichen Rechts- und Amtshilfemechanismen erreicht werden. Kennzeichnend für diese beiden Formen der zwischenstaatlichen Informationshilfe ist, dass sie stets das Stellen eines Informationsersuchens des fremden Mitgliedstaates an einen datei- bzw. informationsinnehabenden Mitgliedstaat erfordern und somit grundlegend an dem Prinzip der Informationssouveränität der national erhobenen Daten festgehalten wird. Ein solches Vorgehen schont vor allem die Gebietshoheit der Mitgliedstaaten, indem die ersuchende Behörde nicht eigenständig in dem (Datenbank-)Territorium der ersuchten Behörde tätig wird, sondern unter strenger Beachtung des behördlichen Gleichordnungsgrundsatzes die Behörden des Gebietsstaates einschaltet.129 Funktional gesehen kommt es zu einer Verknüpfung beider beteiligten Behörden, welche im Bereich der allgemeinen Verwaltung begrifflich unter dem Terminus des Verwaltungsverbundes130 bzw. des Verwaltungsnetzwerkes diskutiert wird. Dieses zwischen der ersuchten und ersuchenden Behörde bestehende „Quasi-Auftragsverhältnis“ bewirkt organisatorisch und rechtlich gesehen keine Veränderung des Rechtsverhältnisses der ersuchten Behörde zu ihrem jeweiligen Gebietsstaat, in welchem sich die ersuchte Behörde befindet. Sie bleibt organisatorisch und rechtlich gesehen ihrem jeweiligen Gebietsstaat zugeordnet, auch wenn sie im Auftrag der ersuchenden Behörde tätig wird.131 Kernelement des Schleusenmodells ist prägnant formuliert, dass der informationssuchende Mitgliedstaat nicht ohne Einbindung des informationsinnehabenden Mitgliedstaates an die Informationen gelangt, sodass dem informationsinnehabenden Mitgliedstaat 128 So ausdrücklich auch bei Böse, EuZ 2007, S. 65. Ähnlich auch Fletcher/Lööf/Gilmore, EU Criminal Law (2008), S. 95. Auch das Committee of Home Affairs des englischen House of Commons merkt an, dass hieraus die Möglichkeit geschaffen wird, dass die abgemilderte Variante des Verfügbarkeitsgrundsatzes (Prümer Modell) das Modell der Verfügbarkeit in seiner Grundform, als Handlungsinstrument, welches einen radikalen Wandel im Bereich des Informationsaustausches innerhalb der EU herbeiführen sollte, vollständig verdrängt und außerhalb des demokratischen Rahmens der EU ausgetragen werden wird, vgl. House of Lords, Prüm Report (2007), S. 6, Paragraph 144, sowie das House of Commons Home Affairs Committee, Government Response to the Committee’s Third Report: Justice and Home Affairs Issues at European Union Level, First Special Report of Session 2006–2007, S. 6, Abs. 144. 129 Ohler, Umsetzung Dienstleistungsrichtlinie (2008), S. 158. 130 Ausführlich zum europäischen Verwaltungsverbund Heussner, Informationssysteme (2007); Schmidt-Assmann/Schöndorf-Haubold, Europ. Verwaltungsverbund (2005); Ruffert, DÖV 2007, S. 761 ff. 131 Ohler, Umsetzung Dienstleistungsrichtlinie (2008), S. 158.
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken
95
insofern eine Torwächterfunktion zukommt. Informationen werden erst nach dem Erfüllen bestimmter Kriterien weitergegeben. Der Zugang zu den Informationen im Rahmen des „Schleusenmodells“ ist insofern ein indirekter, als dass die Weitergabe der ersuchten Informationen in gewissem Umfang zur Disposition der ersuchten Behörden steht. Das klassische Informationshilfeverfahren kann bildlich gesehen daher als „Schleusenmodell“ beschrieben werden. Eine Einbindung des Verfügbarkeitsgrundsatzes in das bestehende Informationshilfesystem hat nicht zuletzt zwei wesentliche Vorzüge: Zum einen werden bekannte Kooperationsmechanismen im Rahmen der gegenseitigen Strafrechtspflege genutzt, welche sich langjährig etabliert haben. Zum anderen sprechen teleologische Überlegungen für die Integration des Verfügbarkeitsgrundsatzes in das Informationshilfesystem. Wie bereits dargestellt, erwuchs das Bedürfnis nach der Verfügbarkeit von Informationen spezifisch aus den bestehenden praktischen Problemen der Informationshilfe. Mit der Öffnung des Schengen Raumes sollte der Mobilität der Bürger eine Mobilität der Daten und Informationen entgegengesetzt werden. Die politische Idee des Verfügbarkeitsgrundsatzes kann insofern als Triebfeder der Informationshilfe genutzt werden, wenn sie genau an den bestehenden Problemen der Informationshilfe anknüpft und diese maßgeschneiderten Lösungen zuführt. Eine solche Integration des Verfügbarkeitsgrundsatzes nach Maßgabe des „Schleusenmodells“ würde somit im Vergleich zu dem „Datenpoolmodell“ eine gemilderten Variante darstellen, welche grundsätzlich die Souveränitätsansprüche der Mitgliedstaaten wahrt und in der Folge innerhalb der EU eine höhere Akzeptanz bei der Umsetzung erwarten kann. Die Einbindung des Verfügbarkeitsgrundsatzes in das „Schleusenmodell“ ist zu zweierlei Zeitpunkten möglich. Insofern ist es denkbar, den Verfügbarkeitsgrundsatz zeitlich dem Rechtshilfeverfahren anzuschließen oder aber den Verfügbarkeitsgrundsatz dem Rechtshilfeverfahren vorzulagern.
1. Einbindung des Verfügbarkeitsgrundsatzes im Anschluss an die Informationshilfe: Die „Schwedische Initiative“
Denkbar ist zunächst der Rückgriff auf das herkömmliche System der internationalen Informationshilfe. Der informationssuchende Mitgliedstaat hätte dementsprechend zunächst ein auf die Übermittlung der Informationen gerichtetes Informationshilfeersuchen zu stellen. Eine solche Anfrage würde gleichsam „ins Blaue hinein“ gestellt werden müssen, da im Anfragezeitpunkt selbst noch nicht bekannt ist, ob der ersuchte Staat überhaupt über die begehrten Informationen verfügt. Für den Fall, dass der ersuchte Staat tatsächlich die Informationen bereit hält, würde eine Weitergabe derselbigen dann jedoch nur unter der Bedingungen der anzuwendenden Informationshilfevorschriften geschehen. An eben dieser Stelle kann nun der Grundsatz der Verfügbarkeit ansetzen, indem er die ersuchte Behörde verpflichtet, innerhalb einer bestimmten Frist das Ersuchen zu bearbeiten. Gleichwertigen fremdmitgliedstaatlichen Behörden würde zeitlich gesehen insoweit ein gleichwertiges, mittelbares Zugangsrecht eingeräumt werden. Die für die Informationshilfe typisch lange Verfahrensdauer kann hierdurch verkürzt und die verfügbare Information dem ersuchenden Mitgliedstaat schneller bereitgestellt werden. Mit dem Rahmenbe-
96
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
schluss 2006/960/JI (RBDatA)132 , welcher trotz seiner Verabschiedung am 18.12.2006 nach wie vor als „Schwedische Initiative“ bezeichnet wird, wurde dieser Weg zur Umsetzung des Grundsatzes der Verfügbarkeit erstmals beschritten. Durch den RBDatA werden die Mitgliedstaaten verpflichtet, an die an der grenzüberschreitenden Übermittlung personenbezogener Daten beteiligten fremdstaatlichen Behörden keine höheren rechtlichen Anforderungen zu stellen, als auf nationaler Ebene für den Datenaustausch zwischen Polizei und Strafverfolgungsbehörden gelten. Grundlage des Instruments ist somit der Grundsatz der Verfügbarkeit in einer abgeschwächten Form.133 So beschränkt sich der RBDatA darauf, nur ein Teilelement des Verfügbarkeitskonzeptes zu erfassen; er ist in seinem Regelungsgehalt auf das Prinzip des gleichberechtigten Zugangs134 und das hierin enthaltene Diskriminierungsverbot135 , welches nur im Falle des Vorliegens der im RBDatA genannten Gründe durchbrochen werden darf, beschränkt. Fremdmitgliedstaatlichen Strafverfolgungsbehörden sollen grundsätzlich alle bereits vorhandenen Informationen in gleicher Weise zugänglich gemacht werden, wie sie auch national zur Verfügung stehen (Art. 3 Abs. 3 RBDatA).136 Fortan ist die Ablehnung der Übermittlung von Informationen mit dem Argument, dass im Empfängerstaat ein angemessenes Datenschutzniveau nicht gewährleistet sei, nicht mehr möglich.137 Durch die Zielsetzung, die oben aufgezeigten Informationshilfehindernisse zu beseitigen, wird die Vereinfachung, Beschleunigung und somit schließlich ein deutlicher Anstieg des Infor132 Rahmenbeschluss über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union, ABlEU Nr. L 386/26 v. 28.12.2006. 133 Auch der Vorsitz des Ausschusses „Artikel 36/AStV/Rat versteht den RBDatA als teilweise Umsetzung des Grundsatzes der Verfügbarkeit: Vgl. Dokument des Vorsitzes an den Rat, Dok. 7641/05 v. 25.03.2005, S. 2. 134 Hierzu siehe § 1 C. I., S. 65. 135 BT-Drs. 17/5096, S. 14. 136 Schaar, Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 2. Teilweise wird dies auch als Gleichstellungsgebot beschrieben. So bei Martinez, Stellungnahme zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 1; Hoffmann-Holland, Stellungnahme zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Innenausschusses des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 4. 137 Hoffmann-Holland, Stellungnahme zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Innenausschusses des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 11; Martinez, Stellungnahme zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 9. Eine Verweigerung wegen ungenügenden Datenschutzniveaus des Empfängerstaates ist somit nur noch gegenüber Drittstaaten möglich.
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken
97
mationsaustausches zur Durchführung strafrechtlicher Ermittlungen oder polizeilicher Erkenntnisgewinnungsverfahren angestrebt (Art. 1 Abs. 1). Während die Mitgliedstaaten innerhalb der bisher bestehenden Rechtsinstrumente zum Austausch personenbezogener Daten lediglich rechtlich unverbindlich ihre Absichten zur Zusammenarbeit äußerten138 , wurde durch den RBDatA ein neuer Aspekt der Zusammenarbeit rechtliche Realität: Erstmalig sind die Mitgliedstaaten im Grundsatz dazu verpflichtet, personenbezogene Daten zur Verfügung zu stellen.139 In seiner praktischen Ausgestaltung greift der Rahmenbeschluss – anders als die Konzeption des RB-E zur Umsetzung des Grundsatzes der Verfügbarkeit140 – auf das bereits erläuterte „Schleusenmodell“ zurück, welches an den konventionellen Strukturen der internationalen Informationshilfe anknüpft. Hierbei wird grundlegend an dem Prinzip der Informationssouveränität der national erhobenen Daten festgehalten, indem dem informationsinnehabenden Staat eine Torwächterfunktion eingeräumt wird. Erst nach dem Stellen eines förmlichen Ersuchens erhält der informationssuchende Mitgliedstaat die erfragten Informationen von der ersuchten Behörde übermittelt.141 Ziel des Rahmenbeschlusses ist es weder nationale Regelungen der Mitgliedstaaten für Ermittlungen und die Gewinnung von Informationen zu ändern, noch den gesamten Austausch von Informationen und Erkenntnissen zu zentralisieren.142 Eine neue Rechtsgrundlage zur erstmaligen Erhebung von Daten in dem Sinne, dass die angefragten Daten durch die Strafverfolgungsbehörden einzig zum Zwecke ihrer Übermittlung zu erheben sind, wird durch den Rahmenbeschluss gerade nicht geschaffen.143 Vielmehr versucht der RBDatA bestehende Problemkreise der herkömmlichen Informationshilfemechanismen abzumildern, indem er durch die Festsetzung fester Bearbeitungs- und Beantwortungsfristen im Anschluss an das Informationshilfeverfahren die Verpflichtung einer beschleunigten Abwicklung der Informationshilfe vorschreibt. Erstmalig seit dem Inkrafttreten des Schengener Übereinkom138 Genannt seien an dieser Stelle das Übereinkommen vom 19.06.1990 zur Durchführung des Schengener Übereinkommens vom 14.06.1985, ABlEU Nr. L 239/19 v. 22. 09. 2000; EuropolÜbereinkommen, ABlEU Nr. C 316/1 v. 27.11.1995; Eurojust-Entscheidung, ABlEU Nr. L 63/1 vom 06.03.2000. Zwar verpflichtete Art. 39 SDÜ die Mitgliedstaaten zur gegenseitigen Hilfe um vorbeugend strafbare Handlungen zu bekämpfen und aufzuklären, jedoch wurde dem nationalen Recht die Art der Zusammenarbeit überlassen. Hierzu BT-Drs. 17/5096, S. 14. 139 Deutlich wird die bestehende Verpflichtung durch den Wortlaut von Art. 3 Abs. 2 RB: „werden auf Ersuchen zur Verfügung gestellt“. 140 Der RB-E ist seiner Natur nach auf den unmittelbaren Zugriff auf Daten im Sinne des sog. Datenpoolmodells angelegt. 141 An dieser Stelle sei jedoch auf die Ausnahmeregelung des Art. 7 RBDatA verwiesen: Als Ausnahme des Schleusenmodells sieht er die Möglichkeit eines sog. Spontandatenaustausches ohne das Erfordernis des vorherigen Ersuchens vor, wobei sich die Modalitäten eines solchen Austausches nach dem nationalen Recht des Mitgliedstaats, der die Informationen zur Verfügung stellt, zu richten haben. 142 Vermerk des Rates der Europäischen Union, Leitlinien für die Umsetzung des Rahmenbeschlusses 2006/960/JI des Rates vom 18. Dezember 2006 über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union, Dok. 9512/10 v. 26.5.2010, S. 3. 143 Schaar, Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 4.
98
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
mens wird durch den RBDatA der Versuch unternommen, die in den Art. 39 und 46 SDÜ vorgesehenen allgemeinen rechtlichen und praktischen Rahmenbedingungen für den Austausch strafverfolgungsrelevanter Informationen zwischen den Strafverfolgungsbehörden der EU-Mitgliedstaaten sowie der Schengen-assoziierten Staaten144 zu reformieren.145 a) Erfasste Informationskategorien Im Gegensatz zu anderen Rechtsakten, welche den mitgliedstaatlichen Informationsaustausch innerhalb des RFSR regeln, ist der RBDatA in seinem sachlichen Anwendungsbereich allumfassend. So sieht er von einer Begrenzung auf bestimmte Informationskategorien ab. Vielmehr ist er auf alle Arten von Informationen oder Angaben anwendbar, die bei Strafverfolgungsbehörden vorhanden sind. Ebenso eingeschlossen werden alle Arten von Informationen oder Angaben, die bei Behörden oder privaten Stellen vorhanden und für die Strafverfolgungsbehörden ohne das Ergreifen von Zwangsmaßnahmen verfügbar sind.146 Sonderregelungen sieht der RB für Informationen vor, welche sich auf eine Straftat beziehen, die von dem Straftatenkatalog des Rahmenbeschlusses zum Europäischen Haftbefehl erfasst ist. Im Rahmen der Strafermittlungen und im Vorfeld von solchen Ermittlungsverfahren zu den 32 Deliktsgruppen des Rahmenbeschlusses zum EUHaftbefehl und sog. „crime intelligence operations“ sollen die mitgliedstaatlichen Behörden jede Information erhalten können, über die die Strafverfolgungsbehörden eines anderen Mitgliedstaates verfügen.147 Ausdrücklich werden indes Informationen ausgeschlossen, welche von den Mitgliedstaaten als Beweismittel vor einer Justizbehörde verwendet werden.148 b) Zuständige Behörden und Zeitpunkt des Informationsaustausches Dem Regelungsbereich des RBDatA unterfällt jeglicher Informationsaustausch zwischen Strafverfolgungsbehörden im Sinne des Art. 2 lit. a. Hierzu zählen neben Polizeiund Zollbehörden auch solche Behörden, welche für die Verhütung, Aufdeckung und Aufklärung von Straftaten zuständig sind. Ausgenommen ist indes der Informationsaustausch mit Sicherheitsbehörden, wie z. B. Nachrichtendiensten, oder aber auch mit deutschen Staatsanwaltschaften, welche zwar nach innerstaatlichem Recht Strafverfolgungsbehörden darstellen, jedoch nicht Strafverfolgungsbehörden im Sinne des RBDatA sind.149 144 Schengen-assoziierte Staaten sind Staaten, bei welchen die Bestimmungen des Schengen Besitzstandes aufgrund eines Assoziierungsübereinkommens mit der Europäischen Union über die Umsetzung, Anwendung und Entwicklung des Schengen Besitzstandes zur Anwendung gelangen. 145 Arbeitspapier der Kommissionsdienststellen – Begleitdokument zum Vorschlag für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit – Folgenabschätzung vom 12.10.2005, SEK (2005) 1270, S. 6; Commission staff working paper on the operation of the Council Framework Decision 2006/960/JHA of 18 December 2006, SEC (2011) 593 final, S. 3. 146 Hierzu die Legaldefinition in Art. 2 lit. d des RB 2006/960/JI, ABlEU Nr. L 386/96 v. 28.12.2006. 147 Aden/Busch, in: Roggan/Kutscha, Handbuch Innere Sicherheit (2006), S. 565. 148 Vgl. Art. 1 Abs. 4 S. 1 RB 2006/960/JI, ABlEU Nr. L 386/90. 149 Innenministerium Baden-Württemberg v. 30. März 2010, Bericht des Ländervertreters im Ausschuss nach Artikel 36 EUV über die Beteiligung der Länder in Angelegenheiten der Europäischen Union im Jahr 2009, Az.: 3-0123.3-A36A, S. 20.
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken
99
Eine solche Wertung ergibt sich zum einen aus dem Zweck des RB, welcher darin zu sehen ist, den Informationsaustausch im zeitlichen Vorfeld des Ermittlungsverfahrens zu regeln.150 Sobald mit Erhebung der Anklage die Anhängigkeit der Strafsache eintritt, ist der Rahmenbeschluss nicht mehr anwendbar, da der zeitliche Anwendungsbereich auf strafrechtliche Ermittlungen und das polizeiliche Erkenntnisgewinnungsverfahren begrenzt ist. Demnach werden durch den Rahmenbeschluss zeitlich nur die Verfahrensstadien einbezogen, welche dem Strafprozess an sich zeitlich deutlich vorgelagert sind. Das strafrechtliche Ermittlungsverfahren151 ist durch den Umstand gekennzeichnet, dass Sachverhalte, Verdächtige und Umstände bezüglich einer konkreten strafbaren Handlung durch die zuständigen Strafverfolgungsbehörden noch ermittelt werden müssen. Diesen strafrechtlichen Ermittlungen zeitlich vorgelagert ist das polizeiliche Erkenntnisgewinnungsverfahren.152 Hierin werden Informationen über Straftaten oder kriminelle Aktivitäten gesammelt, verarbeitet und analysiert, um festzustellen, ob eine konkrete strafbare Handlung begangen wurde (repressives Handeln) oder in Zukunft begangen werden wird (präventives Handeln). Weiterhin schließt die im Rahmenbeschluss zitierte Rechtsgrundlage des ex-Art. 30 EUV die Verpflichtung der Justizbehörden – wie den deutschen Staatsanwaltschaften oder Gerichten – zum Informationsaustausch aus.153 Zur Vereinfachung der Bestimmung der zugelassenen Behörden haben die Mitgliedstaaten beim Generalsekretariat des Rates entsprechende Erklärungen zu hinterlegen (Art. 2 lit. a).154 c) Konkrete Ausgestaltung der Informationsübermittlung Die Schwedische Initiative ist dezentral konzipiert und ermöglicht es Polizei-, Zoll- und anderen Behörden, die befugt sind bei Straftaten zu ermitteln155 , Informationen und polizeiliche Erkenntnisse mit anderen EU-Ländern auszutauschen.156 Jeder Mitgliedstaat hat infolgedessen einen nationalen Kontaktpunkt einzurichten und zu benennen. In diesem werden eigene Informationsersuchen gebündelt und weitergeleitet bzw. gehen fremde Informationsersuchen ein und werden bearbeitet. Hat ein Mitgliedstaat Informationen oder Erkenntnisse erhalten und will er sie als Beweismittel vor einer Justizbehörde verwenden, so hat er – falls nach dem nationalen Recht des übermittelnden Mitgliedstaats erforderlich – unter Rückgriff auf die zwischen den Mitgliedstaaten geltenden Rechtsinstrumente für die justizielle Zusammenarbeit – die Einwilligung des Mitgliedstaats einzuholen, der
150
BT-Drs. 17/5096, S. 15. Vgl. Legaldefinition des Art. 2 lit. b des Rahmenbeschlusses 2006/960/JI, ABlEU Nr. L 386/91. 152 Hierzu Art. 2 lit. c des Rahmenbeschlusses 2006/960/JI, ABlEU Nr. L 386/91. 153 BT-Drs. 17/5096, S. 15. 154 Zum Übermittlungsstand vgl. Rat der Europäischen Union, Vermerk betr. der Leitlinien zum Rahmenbeschluss 2006/960/JI, Anlage IV, Lists of competent authorities for FWD2006/960/JHA, 9512/3/10 vom 1.3.2011, S. 1, 124 (http://register.consilium.europa.eu/pdf/de/10/st09/st09512-re03. de10.pdf). 155 Hierbei werden Geheimdienste explizit ausgenommen, da diese üblicherweise mit Ermittlungen im Zusammenhang mit der Sicherheit des Staates betraut sind. 156 Mitteilung der Kommission an das Europäische Parlament und den Rat, Überblick über das Informationsmanagement im Bereich Freiheit, Sicherheit und Recht, KOM (2010) 385 endg., S. 12. 151
100
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
die Informationen oder Erkenntnisse bereitgestellt hat.157 Zu beachten ist, dass die Informationen und Erkenntnisse erst nach einem Ersuchen der zuständigen Strafverfolgungsbehörde zur Verfügung gestellt werden. Die ersuchende Behörde muss hierbei innerhalb der ihr nach nationalem Recht zustehenden Befugnisse handeln. Im Gegensatz zum Entwurf des Rahmenbeschlusses zur Umsetzung des Grundsatzes der Verfügbarkeit wird den Mitgliedstaaten gerade kein direkter Online-Zugang zu den Informationsbeständen gewährt. Der RB hält vielmehr an dem klassischen Verfahren des Ersuchens um Übermittlung fest.158 Sind die erbetenen Informationen oder Erkenntnisse nach dem nationalen Recht des ersuchten Mitgliedstaates für die ersuchte zuständige Strafverfolgungsbehörde nur aufgrund einer Zustimmung oder Genehmigung zugänglich, so ist die selbige verpflichtet, die zuständige Justizbehörde um eine Zustimmung oder Genehmigung für den Zugang zu den erbetenen Informationen und für den Austausch dieser Information zu ersuchen.159 Dieser Verweis auf das innerstaatliche Recht des ersuchten Staates stellt insofern einen direkten Ausfluss des Grundsatzes des gleichberechtigten Zugangs dar. Indes sieht der RBDatA davon ab, den für den grenzüberschreitenden Datenaustausch zu verwendenden Kommunikationsweg festzulegen. Den Mitgliedstaaten wird die Wahl zwischen sämtlichen im Rahmen der internationalen Informationshilfe zur Verfügung stehenden Kanälen, z. B. der Europol- oder Interpolkanal, überlassen, wobei jedoch die jeweiligen Anforderungen an die Datensicherheit zu berücksichtigen sind.160 d) Übermittlungsfristen innerhalb des Informationshilfeverfahrens Den Kernregelungsgehalt des RB 2006/960/JI betrifft die Präzisierung der die Informationshilfe betreffenden Form- und Verfahrensvorschriften. So werden verbindlich Regeln zu dem anzuwendenden Informationshilfeverfahren, sowie zulässige Ablehnungsgründe von Informationsanfragen und auch feste Fristen zur Bearbeitung zulässiger Ersuchen festgelegt, um den zwischenstaatlichen Informationsaustausch zu vereinfachen. So besteht die wesentliche Neuerung in der Festlegung fester Beantwortungsfristen, innerhalb derer die ersuchten Mitgliedstaaten eingehende Ersuchen zu bearbeiten haben. Für den Fall derer Nichteinhaltung wandelt sich diese Verpflichtung in eine Rechenschaftsverpflichtung der ersuchten Behörde gegenüber der ersuchenden Behörde um; ersterer wird eine Mitteilungs- und Begründungspflicht auferlegt. Die Dauer der Frist für die Übermittlung von Informationen bestimmt sich zum einen danach, ob der Informationsanfrage der Verdacht einer Katalogtat des Art. 2 Abs. 2 des Rahmenbeschlusses zum Europäischen Haftbefehl161 zugrunde liegt und zum anderen nach der Dringlichkeit des Ersuchens. Bezieht sich die Informationsanfrage auf eine Katalogtat des Rahmenbeschlusses des Europäischen Haftbefehls und ist sie zudem dringlich, gilt eine Informationsfrist von acht Stunden, welche jedoch für den Fall, dass die ersuchte Behörde unverhältnismäßig über157
Siehe Art. 1 Abs. 4 S. 2 des Rahmenbeschlusses 2006/960/JI, ABlEU Nr. L 386/90. Böse, Grundsatz der Verfügbarkeit (2007), S. 49. 159 So ausdrücklich Art. 3 Abs. 4 S. 1 des Rahmenbeschlusses 2006/960/JI, ABlEU Nr. L 386/91. 160 BT-Drs. 17/5096, S. 14. 161 Rahmenbeschluss 2002/584/JI vom 13. Juni 2002 über den Europäischen Haftbefehl, ABl. Nr. L 190 vom 18.7.2002, S. 1 ff. 158
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken
101
lastet ist, auf drei Tage ausgedehnt werden kann. Ist indes keine Dringlichkeit gegeben, verlängert sich die Beantwortungsfrist auf den Zeitraum von einer Woche. Bei Nichteinhaltung dieser Frist wird der ersuchten Behörde eine Rechtfertigungspflicht auferlegt, in deren Rahmen die Ursachen und Gründe der Verzögerung anhand des im Anhang des Rahmenbeschlusses162 befindlichen Formulars darzustellen sind. Erfolgt die Informationsanfrage hingegen nicht in Bezug auf eine mögliche Katalogtat des Rahmenbeschlusses 2002/584/JI verbleibt der ersuchten Behörde ein Zeitfenster von zwei Wochen, um die Anfrage zu bearbeiten, anderweitig entsteht abermalig eine Begründungspflicht bzgl. der Verzögerung. e) Verweigerungsgründe einer Informationsübermittlung Der ersuchte Staat kann die Informationsweitergabe verweigern163 , • wenn die Beeinträchtigung wesentlicher, also grundlegender, nationaler Sicherheitsinteressen zu befürchten ist, • wenn laufende Ermittlungen oder „crime intelligence operations“ beeinträchtigt würden, • wenn sie erkennbar unverhältnismäßig, d. h. nicht erforderlich, nicht geeignet oder in Relation zu der Schwere der dem Ersuchen zugrundeliegenden Straftat nicht angemessen, oder irrelevant wäre, • wenn ein Fall der Bagatellkriminalität gegeben ist, d. h. wenn für die betreffende Straftat nach dem Recht des ersuchten Staates eine Mindesthöchststrafe von unter einem Jahr gilt oder • die zuständige Justizbehörde die Weitergabe verweigert hat. f) Datenschutzkonzeption Der RBDatA selbst enthält abgesehen von dem in Art. 9 normierten Gebot der Vertraulichkeit der Information keine spezifischen Datenschutzregelungen.164 Die Verwendung der mit Hilfe dieses Instruments erhaltenen Informationen und Erkenntnisse unterliegt den entsprechenden nationalen Datenschutzgesetzen. Hierbei dürfen die Mitgliedstaaten Informationen aus dem Inland und solche aus den anderen Mitgliedstaaten nicht unterschiedlich behandeln.165 Die Datenschutzkonzeption des RBDatA erschöpft sich insofern in dem Verweis auf nationale Datenschutzvorschriften, das Übereinkommen 108 des Europarats nebst Zusatzprotokoll 181 und dem Verweis auf die Empfehlung des Europarats für
162
Anhang A des Rahmenbeschlusses 2006/960/JI, ABlEU Nr. L 386/96 f. Zum Folgenden vgl. Art. 10 RBDatA. 164 Hoffmann-Holland, Stellungnahme zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Innenausschusses des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 11. 165 Mitteilung der Kommission an das Europäische Parlament und den Rat, Überblick über das Informationsmanagement im Bereich Freiheit, Sicherheit und Recht, KOM (2010), 385 endg., S. 12. 163
102
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
die Verarbeitung personenbezogener Daten im Polizeibereich.166 Darüber hinausgehend werden zudem die Vorgaben des RB 2008/977/JI des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, zu beachten sein.167 Dem RBDatA entsprechend können Informationsanfragen nur zum Zwecke der Aufklärung, Verhütung und Aufdeckung einer Straftat erfolgen, wobei die konkreten Gründe für die Annahme zu erläutern sind, dass sachdienliche Informationen in dem ersuchten Mitgliedstaat vorhanden sind und die konkreten Verdachtsmomente der Begehung einer Straftat durch eine spezifische Person darzustellen sind (Art. 5). Fishing expeditions – also allgemeine Auskunftsersuchen zu einer bestimmten Person – sollen durch den RBDatA verhindert werden und werden insofern formal durch das im Annex B befindliche und zu verwendende Formblatt abgesichert.168 Nur dann, wenn die ersuchte Stelle über genügend Hintergrundinformationen in Bezug auf die Informationsanfrage verfügt, kann eine derart weitreichende Verpflichtung zur Informationsübermittlung und die Einhaltung des hierin enthaltenen Diskriminierungsverbotes legitimiert werden.169 Art. 8 Abs. 4 RbDatA sieht für den Fall der Übermittlung zudem die Möglichkeit des ersuchten Mitgliedstaates vor, innerhalb seines nationalen Rechts gesonderte Bedingungen für die Verwendung der Informationen und Erkenntnisse durch die empfangende Strafverfolgungsbehörde festzulegen. Eine Zweckdurchbrechung ist nur für den Fall vorgesehen, dass eine unmittelbare und ernsthafte Gefahr für die öffentliche Sicherheit vorliegt (Art. 8 Abs. 3 RBDatA). Darüber hinausgehend fehlen innerhalb des Rahmenbeschlusses Vorschriften, welche den mitgliedstaatlichen Behörden präzisierte Kennzeichnungspflichten auferlegen170 : So kann der datenempfangenden Staat nicht erkennen, aus welcher Quelle die übermittelten Daten stammen. Eine Überprüfung der Daten und eine Berichtigung im Falle derer Fehlerhaftigkeit wird hierdurch erschwert. Der durch Art. 8 GRC einzuhaltende Grundsatz der Datenrichtigkeit als spezifische Ausformung des Verhältnismäßigkeitsgrundsatzes erfordert zwingend, dass die Datenbestände aktualisiert und gegebenenfalls berichtigt werden müssen. Wenn der empfangende Staat jedoch keine Auskunft darüber erhält, aus welcher Quelle die erhaltenen Daten stammen, ist fraglich, inwiefern diesem entsprochen werden kann und ob hierdurch die Qualität der polizeilichen Datenbestände hinreichend gesichert werden kann. RB 2006/960/JI entspricht zudem auch nicht den Anforderungen des Art. 8 GRC, wonach die Mitgliedstaaten dem durch den Datenaustausch Betroffenen eine effektive Si166 Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (ETS Nr. 108), Europarat, 28.1.1981 (Übereinkommen 108 des Europarates); Zusatzprotokoll zum Übereinkommen über den Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten betreffend Kontrollstellen und grenzüberschreitenden Datenverkehr (ETS Nr. 181), Europarat, 8.11.2001 (Zusatzprotokoll 181); Empfehlung Nr. R (87) 15 des Ministerkomitees des Europarates zur Regelung der Benutzung personenbezogener Daten durch die Polizei, Europarat, 17.9.1987 (Empfehlung für die Polizei). 167 BT-Drs. 17/5096, S. 16. 168 BT-Drs. 17/5096, S. 16. 169 BT-Drs. 17/5096, S. 16. 170 Kritisch hierzu Aden, Stellungnahme zum Entwurf der Bundesregierung eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union (BT-Drucksache 17/5096), vorgelegt zur Anhörung des Innenausschusses des Deutschen Bundestages. Berlin, 19. September, S. 5.
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken
103
cherung seiner Folgeansprüche zu garantieren haben. Hiernach hat der Grundrechtsträger insb. einen Anspruch darauf, Auskunft zu erhalten, ob und welche ihn betreffenden Daten erhoben bzw. gespeichert wurden. Ein solches Auskunftsrecht zugunsten des Betroffenen sucht man innerhalb des RB 2006/960/JI vergeblich. Individualrechtliche Auskünfte über die Verwendung und weitere Verarbeitung der übermittelten Daten kann der Einzelne gerade nicht erhalten, da Art. 8 Abs. 4 S. 5 RB 2006/960/JI ein Auskunftsrecht lediglich für den übermittelnden Mitgliedstaat vorsieht. Hiernach kann der übermittelnde Staat in besonderen Fällen von dem empfangenden Staat Auskünfte über die Verwendung und weitere Verarbeitung der übermittelten Daten verlangen. Eine solche Regelung vermag es jedoch nicht einen individualrechtlichen Auskunftsanspruch zu ersetzen. g) Stand der Umsetzung Obgleich der Rahmenbeschluss seit dem 19. Dezember 2008 verpflichtend von den Mitgliedstaaten umzusetzen ist, wird er in der Praxis kaum genutzt. Entsprechend einem Arbeitspapier der Kommission171 haben bislang noch nicht alle Mitgliedstaaten entsprechende Umsetzungsgesetze erlassen. Vereinzelte Mitgliedstaaten172 haben bislang auf eine Umsetzung des Rahmenbeschlusses in nationales Recht abgesehen.173 Bis zum Dezember 2012 hatten nur 17 der 31 Vertragsparteien174 nationale Rechtsvorschriften zur Umsetzung des RB 2006/960/JI erlassen.175 Zudem werden die Formulare, ebenso wie die verbindlichen Fristen, in den meisten Mitgliedstaaten nicht beachtet.176 So nutzen lediglich fünf Staaten der genannten zwölf Vertragsparteien das für Informationsanfragen einschlägige Formular regelmäßig, zwei Staaten nutzen es häufig für den Informationsaustausch.177 Nach Ansicht von Blas ist einer der wesentlichen Gründe, warum die Umsetzung des RBDatA sich so wesentlich verzögerte, darin zu sehen, dass durch diesen Rechtsakt der Versuch unternommen wird, den Datenaustausch der polizeilichen Zusam171 Commission staff working paper, Operation of the Council Framework Decision 2006/960/JHA of 18 December 2006 („Swedish Initiative“), SEC (2011) 593 final, 13.5.2011. Gegenwärtiger Stand zudem in KOM (2012) 735 endg., S. 10. 172 SEC (2011) 593 final, S. 5. Es handelt sich um Belgien, Estland, Italien und Luxemburg. Irland, Österreich, Malta und Großbritannien haben indes erklärt, dass ihr nationales Recht bereits die Anforderungen des RBDatA erfülle und insofern kein Umsetzungsbedarf bestünde. 173 Hoffmann-Holland, Stellungnahme zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Innenausschusses des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 2. 174 Neben den 27 EU-Mitgliedstaaten sind auch die EFTA-Staaten, also Island, Liechtenstein, Norwegen und die Schweiz, Vertragsparteien geworden. 175 Vgl. Mitteilung der Kommission an das europäische Parlament und den Rat, Stärkung der Zusammenarbeit der Strafverfolgungsbehörden in der EU: Das Europäische Modell für den Informationsaustausch, KOM (2012) 735 endg., S. 10. 176 Innenministerium Baden-Württemberg v. 30. März 2010, Bericht des Ländervertreters im Ausschuss nach Artikel 36 EUV über die Beteiligung der Länder in Angelegenheiten der Europäischen Union im Jahr 2009, Az.: 3-0123.3-A36A, S. 20. 177 Diese Angaben beruhen auf den Antworten auf einen Fragebogen, die der spanische Ratsvorsitz in einer Sitzung der Ad-hoc-Arbeitsgruppe des Rates zum Informationsaustausch am 22. Juni 2010 vorlegte. Vgl. auch Mitteilung der Kommission an das Europäische Parlament und den Rat, Überblick über das Informationsmanagement im Bereich Freiheit, Sicherheit und Recht, KOM (2010), 385 endg., S. 12.
104
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
menarbeit mit jenem der justiziellen Zusammenarbeit in einem Rechtsakt zusammen zu fassen.178 h) Weiterentwickung oder Rückentwicklung des Prinzips der Verfügbarkeit? Nach den bisherigen Ausführungen stellt sich zwingend die Frage, inwiefern der Rahmenbeschluss über die Vereinfachung des Austausches von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden (RB 2006/960/JI) das politische Konstrukt des Grundsatzes der Verfügbarkeit umzusetzen vermag. Um eine überzeugende Bewertung vornehmen zu können, ob der RB 2006/960/JI als Fort- oder vielmehr als Rückentwicklung des Prinzips der Verfügbarkeit zu sehen ist, ist es hilfreich, eine Einordnung des RB in das Gesamtgefüge des bestehenden Informationshilferechts vorzunehmen. Durch den Rahmenbeschluss sollen vor allem die Bestimmungen des Artikels 39 Abs. 1, 2 und 3, sowie Art. 46 des Übereinkommens von Schengen179 ersetzt werden, soweit sie den in dem Rahmenbeschluss vorgesehenen Austausch von Informationen und Erkenntnissen für die Zwecke strafrechtlicher Ermittlungen oder polizeilicher Erkenntnisgewinnungsverfahren betreffen.180 Nach Ansicht der Kommission stellt der RB 2006/960/JI – abgesehen vom RB-E zur Umsetzung des Grundsatzes der Verfügbarkeit – den zielstrebigsten Versuch dar, wesentliche Verbesserungen im Bereich des polizeilichen Informationsaustausches zu erreichen.181 Verdeutlicht man sich jedoch, dass der RBDatA das erste innovative Konzept zur Umsetzung des Haager Programms sein sollte, kann nicht übersehen werden, dass er zu kurz greift. Neben den zahlreichen Einschränkungen des Anwendungsbereichs belässt es der Rahmenbeschluss bei den herkömmlichen Mechanismen des Informationsaustausches. Nach wie vor bildet das Recht des ersuchten Staates den Maßstab, an dem das Informationsersuchen zu messen ist. Einer solchen „Fremdrechtsanwendung“ ist immanent, dass der Ausgang eines Ersuchens nur schwerlich vorher eingeschätzt werden kann.182 Weiterhin vermag es der Rahmenbeschluss nicht, den gegenwärtigen Problemen und Hemmnissen des Informationsaustausches im Rahmen der herkömmlichen Informationshilfe zu begegnen: Sprachhindernisse zwischen den beteiligten mitgliedstaatlichen Behörden und auch der Mangel des Vertrauens in das rechtmäßige Handeln der ersuchenden Behörde bleiben bestehen.183 Anlässlich der von der EU-Kommission Ende 2007 bis Anfang 2008 einberufenen Sitzungen zur Auslegung und Interpretation des RB 2006/960/JI wurden insofern auch substantielle Zweifel an der Effektivität des Rahmenbeschlusses geäußert. So konnten einige Staaten keinen Mehrwert des Rahmenbeschlusses gegenüber den Art. 39, 46 SDÜ erkennen. Die unausgereiften Formblätter, die zwingend für ein Ersuchen oder die Beantwortung eines solchen verwendet werden müssen, deuten zudem eher 178
Blas, ERA Forum 2010, S. 328. ABl. Nr. L 239/19 vom 22.9.2000. Zuletzt geändert durch die Verordnung (EG) Nr. 1160/2005 des Europäischen Parlaments und des Rates (ABl. Nr. L 191/18 vom 22.7.2005). 180 Vgl. Art. 12 Abs. 1 des Rahmenbeschlusses 2006/960/JI, ABlEU Nr. L 386/94. 181 So die Kommission im Rahmen des Arbeitspapiers der Kommissionsdienststellen, SEK (2005) 1270, S. 6. 182 Arbeitspapier der Kommissionsdienststellen, SEK (2005) 1270, S. 6. 183 Arbeitspapier der Kommissionsdienststellen, SEK (2005) 1270, S. 6. 179
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken
105
auf einen administrativen Mehraufwand als auf eine Vereinfachung des Informationsaustausches hin.184 Ein weiterer Schwachpunkt des Rahmenbeschlusses ist nach Ansicht der Kommission in dem Rückgriff auf das hier sog. Schleusenmodell zu sehen. So kann der Informationsaustausch zwischen den Behörden im Sinne des Verfügbarkeitsgrundsatzes nur dann effektiv beschleunigt werden, wenn die ersuchende Behörde Kenntnis darüber besitzt, dass die angeforderten Informationen bei der ersuchten Behörde auch verfügbar sind („Ob“).185 Gerade aber das Wissen, ob Informationen vorhanden sind, ist in der täglichen Praxis nur in seltenen Fällen gegeben. Der RBDatA ändert an dieser Situation jedoch nichts; er ist auf die Effektivierung der Abwicklung des Informationsaustausches („Wie“) begrenzt. Hinzu kommt, dass bei einigen Mitgliedstaaten gerade die Umsetzung der in Art. 4 Abs. 1 RBDatA festgesetzten Beantwortungsfristen bislang vollständig unterblieben ist.186 Ob der RB 2006/960/JI tatsächlich die erhoffte Vereinfachung des Informationsaustausches zwischen den Strafverfolgungsbehörden bringen wird, bleibt abzuwarten.187 Im Ergebnis wird es darauf ankommen, den Rahmenbeschluss und seine Anwendung auf EU-Ebene möglichst bald einer Revision zu unterziehen.188 Innerstaatlich sollte zwischen der Innen- und der Justizseite erörtert werden, ob das Informationshilferecht zugunsten einfacherer Regelungen an die Intention des „Grundsatzes der Verfügbarkeit“ und des Rahmenbeschlusses angepasst werden sollte.189 Der durch den RB 2006/960/JI angeordnete gleichberechtigte Zugang fremdmitgliedstaatlicher Behörden zu vorhandenen Information und die hiermit verbundene Verpflich184 So die Bundesbehörden der Schweizerischen Eidgenossenschaft in ihrem Erläuternden Bericht zum Rahmenbeschluss 2006/960/JI, ABlEU Nr. L 386/89 ff., S. 3. Abrufbar unter www.admin.ch/ ch/d/gg/pc/documents/1594/Bericht.pdf (14.12.2009). 185 Dieses Dilemma erkannte die Kommission selbst. Vgl. nur Arbeitspapier der Kommissionsdienststellen – Begleitdokument zur Verordnung des Rates zum geänderten Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Einrichtung von „EURODAC“ für den Abgleich von Fingerabdruckdaten zum Zweck der effektiven Anwendung der Verordnung (EG) Nr. [. . .] [zur Festlegung der Kriterien und Verfahren zur Bestimmung des Mitgliedstaats, der für die Prüfung eines von einem Drittstaatsangehörigen oder Staatenlosen in einem Mitgliedstaat gestellten Antrag auf internationalen Schutz zuständig ist] (Neufassung) und zum Vorschlag für einen Beschluss des Rates über die Beantragung eines Abgleichs mit EURODAC-Daten durch Strafverfolgungsbehörden der Mitgliedstaaten und Europol zu Strafverfolgungszwecken, Folgenabschätzung vom 10.9.2009, SEK (2009) 937, S. 3. 186 So z. B. in Deutschland, wo selbst nach Behebung der erforderlichen technischen Anpassungen das Zeiterfordernis höchstens im Rahmen der Verwaltungsanweisungen der RiVASt aufgenommen werden soll. Vgl. BT-Drs. 17/5096, S. 16; Hoffmann-Holland, Stellungnahme zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Innenausschusses des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 6. 187 Skeptisch insoweit auch die Bundesbehörden der Schweizerischen Eidgenossenschaft in ihrem Erläuternden Bericht zum Rahmenbeschluss 2006/960/JI, ABlEU Nr. L 386/89 ff., S. 3. Abrufbar unter www.admin.ch/ch/d/gg/pc/documents/1594/Bericht.pdf (14.12.2009). 188 Innenministerium Baden-Württemberg v. 30. März 2010, Bericht des Ländervertreters im Ausschuss nach Artikel 36 EUV über die Beteiligung der Länder in Angelegenheiten der Europäischen Union im Jahr 2009, Az.: 3-0123.3-A36A, S. 20. 189 Innenministerium Baden-Württemberg v. 30. März 2010, Bericht des Ländervertreters im Ausschuss nach Artikel 36 EUV über die Beteiligung der Länder in Angelegenheiten der Europäischen Union im Jahr 2009, Az.: 3-0123.3-A36A, S. 20.
106
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
tung der Mitgliedstaaten vorhandene Daten ohne eine datenschutzrechtliche Überprüfung des Ersuchens des Empfängerstaates zu übermitteln, geht implizit von der Annahme aus, dass vergleichbare rechtsstaatliche und grundrechtsgeschützte Gewährleistungen bei der Erhebung und Verarbeitung von Daten in allen Mitgliedstaaten bestehen.190 Gegenseitiges Vertrauen in das rechtmäßige Handeln wird somit schlichtweg fingiert191 , ohne dass jedoch die erforderlichen Voraussetzungen für selbiges geschaffen werden. Bis auf die in Art. 10 Abs. 2 RBDatA enthaltenen Gründe für das Zurückhalten von Daten, welche sich im Wesentlichen auf national eigene Sicherheitsinteressen beschränken, finden sich innerhalb des RBDatA keine weiteren Ausnahmeregelungen. So bleiben dem empfangenden/ersuchenden Mitgliedstaat die Umstände, unter denen die erfragten Daten erhoben wurden, verborgen. Der Grundsatz der Datenrichtigkeit kann somit schwerlich gewahrt werden, da den Überprüfungsmechanismen bzgl. der Richtigkeit der ausgetauschten Daten jeglicher Anknüpfungspunkt fehlt. Im Falle einer unrechtmäßigen Datenerhebung kann es bei einer nachfolgenden Verwertung der empfangenen Daten somit zu einer erheblichen Beeinträchtigung der Individualrechte des Betroffenen kommen. Diese Grundrechtsinvasivität wird vor allem auch nicht durch den Umstand abgemildert, dass bei Verwendung der Daten in einem strafrechtlichen Verfahren das justizielle Rechtshilfeverfahren ohnehin eine gerichtliche Zulässigkeitsprüfung der erhaltenen Daten zu einem späteren Zeitpunkt des Verfahrens vorsieht.192 Die Speicherung personenbezogener Daten in polizeilichen Datenbanken bleibt von diesen Schutzmechanismen nämlich gänzlich unberührt. Eine justizielle Kontrolle ist hier gerade nicht vorgesehen. Zudem ist zu sehen, dass nach der Übersendung der Daten wiederum die nationalen Datenschutzvorschriften des Empfängerstaates für den Verarbeitungsvorgang Anwendung finden; nicht zuletzt schon aufgrund der durch den RBDatA vorgesehenen Fristen ist ein weitgehender Kontrollverlust des Übersendungsstaates bei fehlendem gesamteuropäischen Datenschutzrahmen somit logische Folge.193 190 Schaar, Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 2. 191 Hoffmann-Holland, Stellungnahme zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Innenausschusses des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 11, 13 f.; Zöller, ZIS 2011, S. 67 f. 192 Schaar, Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 3. 193 So auch Putzke, Schriftliche Stellungnahme zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 9; Hoffmann-Holland, Stellungnahme zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Innenausschusses des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 15.
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken
107
Angesichts des Umstandes, dass es innerhalb der PJZS bisher an einem allumfassenden Datenschutzkonzept fehlt und der Rahmenbeschluss zum Schutz personenbezogener Daten nur partiell eine Vereinheitlichung des unionalen Datenschutzes schafft, greifen die Regelungen des RBDatA insofern zu weit. Der Datenschutzstandard in den einzelnen Mitgliedstaaten im Bereich der PJZS kann nach wie vor als „höchst heterogen“ beschrieben werden und ist keinesfalls vergleichbar.194 Der bloße Verweis des Art. 8 Abs. 2 RBDatA auf nationale Datenschutzbestimmungen, das Übereinkommen 108 des Europarates, sowie auf dessen Zusatzprotokoll 181 und die Empfehlung des Europarates R (87) 15 für die Polizei ist angesichts der mit dem Rahmenbeschluss einhergehenden Mobilisierung der Daten schlichtweg zu undifferenziert und vermag keinen zeitgemäßen einheitlichen Mindeststandard zu schaffen. Schaar ist insofern zuzustimmen, dass die sog. Schwedische Initiative zwar Vertrauen zwischen den Mitgliedstaaten voraussetzt, es jedoch unterlässt, eigene Regelungen und damit belastbare Bedingungen zu schaffen, welche dieses Vertrauen rechtfertigen.195 Auch die Zweckänderungsvorschrift des Art. 8 Abs. 3 RBDatA, wonach auch ohne vorherige Genehmigung des übermittelnden Staates eine Zweckänderung „zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit“ zulässig ist, wirft im Rahmen der nationalen Umsetzungsverfahren erhebliche Probleme auf. Telos der Norm ist es, einen Zugriff auf vorhandene oder verfügbare Daten im Falle einer ernsthaften Gefahrensituation für bedeutende Rechtsgüter zu ermöglichen. Die Ermöglichung derartiger Zweckveränderungen ist jedoch unzulänglich, wenn durch den europäischen Gesetzgeber innerhalb des gleichen Rechtsaktes nicht auch zugleich gesonderte prozedurale Absicherungsmechanismen für die zweckentfremdet genutzten Daten geschaffen werden.196 Dem Grundsatz der Zweckbindung kann nur dann wirksam entsprochen werden, wenn zugleich auch Sanktionsmechanismen für den Fall der Verletzung desselbigen existieren. Die Bemühungen um eine effektive transnationale Strafverfolgung gehen daher sowohl zu Lasten des Daten- als auch des Individualschutzes.197
194 Zöller, ZIS 2011, S. 68; Hoffmann-Holland, Stellungnahme zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Innenausschusses des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 14; Braum, KritV 2008, S. 90; Holznagel/Werthmann, in: Schulze/Zuleeg/Kadelbach, Europarecht (2010), § 37, Rdn. 8. 195 Schaar, Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 3. 196 So auch Aden, Stellungnahme zum Entwurf der Bundesregierung eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union (BT-Drucksache 17/5096), vorgelegt zur Anhörung des Innenausschusses des Deutschen Bundestages. Berlin, 19. September, S. 6. 197 So ausdrücklich auch Putzke, Schriftliche Stellungnahme zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 9; Zöller, ZIS 2011, S. 67.
108
§ 2 Modelle des Datenaustausches zwischen den Mitgliedsstaaten der EU
2. Voranschaltung des Verfügbarkeitsgrundsatzes im Vorfeld der Informationshilfe: Das Prümer Modell Es ist jedoch auch möglich den Verfügbarkeitsgrundsatz im Rahmen des Schleusenmodells dem Informationshilfeverfahren zeitlich voranzustellen. Wie bereits aufgezeigt wurde besitzt der ersuchende Staat im Zeitpunkt des Informationsersuchens kein Wissen, ob die gesuchten Daten und Informationen tatsächlich bei dem ersuchten Staat vorhanden sind. So müssen die ersuchenden Staaten oftmals eine Vielzahl von Anfragen stellen, bevor schließlich der dateiführende Mitgliedstaat gefunden wird und die übliche Informationshilfeprozedur abgewickelt werden kann. Eine solche zeitliche Verzögerung des Informationshilfeverfahrens ließe sich insofern vermeiden, als dass dem eigentlichen Informationshilfeersuchen ein elektronischer Abfragemechanismus vorangestellt werden kann, welcher dem ersuchenden Staat anzeigt, ob einer der anderen Mitgliedstaaten über die benötigten Informationen verfügt. Bekommt der informationssuchende Mitgliedsstaat sodann einen Treffer in einem der mitgliedstaatlichen Datenbanken angezeigt, wäre sodann ein vollständiger Zugriff auf die Informationen nur mittels des regulären Weges der herkömmlichen Rechts- bzw. Amtshilfe möglich. Dieser automatisierte Abfragemechanismus ist unter dem Terminus des „Treffer/Kein Treffer“-Systems bekannt und findet auf EU-Ebene bereits bei den zentralen Datenbanksystemen wie z. B. EURODAC Anwendung. Der Rückgriff auf dieses Verfahren ist problemlos auch auf dezentrale Datenbanksysteme übertragbar und hat seine rechtliche Ausprägung in den Prümer Beschlüssen198 gefunden. Noch parallel zu den in Gang befindlichen Verhandlungen zur Umsetzung des Verfügbarkeitsgrundsatzes durch den Rahmenbeschluss fassten sieben Mitgliedstaaten der EU den Entschluss, den polizeilichen Datenaustausch voranzutreiben und den Grundsatz der Verfügbarkeit von Informationen auf eine vollkommen neue Art und Weise umzusetzen. Wie bereits dargestellt, wurde durch den Entwurf des Rahmenbeschlusses zur Umsetzung des Grundsatzes der Verfügbarkeit der Versuch unternommen, informationssuchenden Strafverfolgungsbehörden der Mitgliedstaaten einen direkten, vollständigen Online-Lesezugriff auf die fremdstaatlichen Datenbanken zu gewähren. Das Verfügbarkeitsprinzip sollte auf diesem Wege in seiner Reinform zugunsten der mitgliedstaatlichen Sicherheitsinteressen umgesetzt werden. Aufgrund seiner Radikalität und seiner Neuartigkeit konnte der Entwurf bis heute keine Mehrheit finden und blieb unumgesetzte Vision. Im Gegensatz hierzu erscheint die sog. Schwedische Initiative in ihrer Umsetzungsvariante des Verfügbarkeitsprinzips nahezu konservativ. Der Rahmenbeschluss 2006/960/JI199 sieht von der Einräumung gegenseitiger Zugangs- und Zugriffsrechte auf Datenbanken vollkommen ab und beschränkt sich darauf, durch die Einführung fester Bearbeitungsfristen die herkömmlichen Rechtshilfeprozeduren zeitlich zu optimieren. Von einer darüber 198 Beschluss 2008/615/JI des Rates vom 23. Juni 2008 zur Vertiefung der grenzüberschreitenden Zusammenarbeit, insb. zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität, ABlEU Nr. L 210/1 v. 06.08.2008 sowie Beschluss 2008/616/JI des Rates v. 23. Juni 2008 zur Durchführung des Beschlusses 2008/615/JI zur Vertiefung der grenzüberschreitenden Zusammenarbeit, insb. zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität, ABlEU Nr. L 210/12 v. 06.08.2008. 199 Rahmenbeschluss 2006/960/JI des Rates v. 18. Dezember 2006 über die Vereinfachung des Informationsaustausches zwischen den Strafverfolgungsbehörden der EU-Mitgliedstaaten der Europäischen Union, ABlEU Nr. L 386/86 v. 28.12.2006.
C. Ausgestaltung des Zugriffs auf dezentrale Datenbanken
109
hinausgehenden Regelung des polizeilichen Datenaustausches durch Zugriffsrecht auf Datenbanken u.ä. wurde abgesehen. Angesichts dieser konträren Umsetzungsvarianten des Verfügbarkeitsgrundsatzes wurde mit dem Prümer Modell eine vermittelnde Umsetzungsmöglichkeit geschaffen, welche es vermag, die jeweiligen Vorteile beider Umsetzungsmodelle zu bündeln, aber zeitgleich auch deren Nachteile zu vermeiden. So wird durch das Prümer Modell den Mitgliedstaaten zunächst eine Pflicht auferlegt, bestimmte Datenbanken zu errichten, soweit sie nicht schon bestehen. In einem weiteren Schritt wird gleichwertigen mitgliedstaatlichen Strafverfolgungsbehörden zu diesen Datenbanken ein Online-Zugriff unter denselben Bedingungen gestattet, welche auch für die eigenen Strafverfolgungsbehörden gelten. Besonderheit dieses Online-Zugriffes ist jedoch, dass er eben keinen umfassenden Lesezugriff auf besonders sensible Primärdaten gewährt, sondern eben nur einen Zugriff auf Indexdaten ermöglicht, welche der ersuchenden Behörde lediglich anzeigen, ob die ersuchten Daten in der fremden Datenbank vorhanden sind. Der volle Zugriff auf die fremden Daten ist indes nur unter Zuhilfenahme der Rechtshilfeinstrumentarien möglich, in deren Rahmen dann wieder die Vorteile der beschleunigten Bearbeitungsverpflichtung der Schwedischen Initiative Anwendung finden. Der Grundsatz der Verfügbarkeit hat hierdurch eine bis dahin noch nicht bestehende Form erhalten.
§ 3 Das Prümer Modell der Verfügbarkeit A. Vom völkerrechtlichen Vertrag zum europäischen Beschluss Am 27. Mai 2005 schlossen sieben EU-Mitgliedstaaten (Belgien, Deutschland, Spanien, Frankreich, Luxemburg, Niederlande und Österreich) im Rheinland-pfälzischen Prüm einen völkerrechtlichen Vertrag, welcher das Ziel verfolgt, die grenzüberschreitende Zusammenarbeit insb. zur Bekämpfung des Terrorismus, der grenzüberschreitenden Kriminalität und der illegalen Migration zu vertiefen. Nach dem Ort der Unterzeichnung wird dieser Vertrag als „Prümer Vertrag“1 bezeichnet. Mit Aufnahme des Wirkbetriebes des Prümer Vertrages und den damit verbundenen ersten großen Erfolgen stellten zahlreiche weitere Staaten Beitrittsersuchen, sodass innerhalb kürzester Zeit2 insgesamt 14 Staaten den Prümer Vertrag ratifizieren. Der Prümer Vertrag ist seiner Rechtsnatur nach ein völkerrechtlicher Vertrag, durch welchen nur die an ihm beteiligten Mitgliedstaaten verpflichtet werden. Er stellt somit kein EU-Abkommen dar, das entspr. den primärrechtlichen Vorgaben der EU-Verträge geschlossen wurde. Lediglich die beteiligten Vertragsstaaten werden durch ihn gebunden; eine Verpflichtung der nicht beteiligten Mitgliedstaaten, seine Inhalte umzusetzen, kann rechtlich nicht begründet werden. Gleichwohl greift der Regelungsgehalt des Prümer Vertrages inhaltlich in das Unionsrecht ein, indem er maßgeblich die polizeiliche und justizielle Zusammenarbeit in Strafsachen konkretisiert und darüber hinausgehend auch Bereiche der ehemals ersten Säule – wie z. B. Migrationskontrollen – erfasst. Schon bei Vertragsschluss war er darauf ausgerichtet, in den Rechtsrahmen der EU überführt zu werden.3 Nachdem die Ratifikation des Prümer Vertrages und der dazugehörigen Durchführungsvereinbarung durch die sieben ursprünglichen Vertragsstaaten abgeschlossen war, begann 2007 die Überführung der wesentlichsten Teile des Prümer Vertrages in die ehemals dritte 1 Vertrag zwischen dem Königreich Belgien, der Bundesrepublik Deutschland, dem Königreich Spanien, der Französischen Republik, dem Großherzogtum Luxemburg, dem Königreich der Niederlande und der Republik Österreich über die Vertiefung der grenzüberschreitenden Zusammenarbeit, insb. zur Bekämpfung des Terrorismus, der grenzüberschreitenden Kriminalität und der illegalen Migration, BGBl. 2006 II, S. 626. Im Folgenden abgekürzt mit Prümer Vertrag. 2 Namentlich bis Ende des Jahres 2009. 3 Vergleiche hierzu ausdrücklich schon die Präambel und Art. 1 Abs. 4 des Prümer Vertrages: „Spätestens drei Jahre nach Inkrafttreten dieses Vertrags wird auf der Grundlage einer Bewertung der Erfahrungen bei der Durchführung des Vertrags in Abstimmung mit der Europäischen Kommission beziehungsweise auf Vorschlag der Europäischen Kommission unter Berücksichtigung des Vertrags über die Europäische Union und des Vertrags zur Gründung der Europäischen Gemeinschaft eine Initiative für die Überführung der Regelungen dieses Vertrags in den Rechtsrahmen der Europäischen Union unterbreitet.“
A. Vom völkerrechtlichen Vertrag zum europäischen Beschluss
111
Säule der EU unter der deutschen Ratspräsidentschaft.4 Insbesondere die Regelungen zum DNA-Austausch, dem Austausch von daktyloskopischen Daten und den Fahrzeughalterdaten, sowie die Regelungen zur Bekämpfung terroristischer Straftaten sollten nunmehr für sämtliche Mitgliedstaaten Geltung erhalten. Auf Initiative von 15 Mitgliedstaaten5 wurde zur Überführung der Prümer Vertragsbestimmungen die Handlungsform des Beschlusses (ex-Art. 34 Abs. 2 lit. c EUV) gewählt, sodass der Prümer Beschluss (PB)6 innerhalb kurzer Zeit in Kraft treten konnte. Begleitend wurde ein Durchführungsbeschluss7 verabschiedet, welcher Vorschriften für die verwaltungsmäßige und technische Umsetzung der im Prümer Beschluss genannten Formen der Zusammenarbeit, insb. für den Austausch von DNA-Daten, daktyloskopischen Daten und Fahrzeugregisterdaten gemäß Kapitel 2 PB, festlegt. Dieses gesetzgeberische Maßnahmenpaket – die sog. Prümer Beschlüsse – ist am 26. August 2008 in Kraft getreten und verpflichtet nunmehr alle EUMitgliedstaaten zur Umsetzung seines Inhalts. Ursprünglich sollte diese Umsezung bis Ende 2011 vollzogen worden sein. Darüber hinaus verpflichteten sich Norwegen und Island den Inhalt der Prümer Beschlüsse umzusetzen, indem sie das Übereinkommen über die Anwendung bestimmter Bestimmungen der Ratsbeschlüsse unterzeichneten.8 Wie bereits dargestellt, äußerten die am Prümer Vertrag beteiligten Signatarstaaten bereits im Zeitpunkt der Ratifizierung des völkerrechtlichen Prümer Vertrages, dass eine Überführung der Regelungen des Prümer Vertrages in das EU-Recht vorgesehen sei. Als diese Überführung auf EU-Ebene schließlich vollzogen wurde, geschah dies durch die wortgleiche Ausformung der Normen innerhalb des Prümer Beschlusses. Nicht sämtliche Normen des Prümer Vertrages konnten wortgleich in den Prümer Beschluss übernommen werden, da durch einige Regelungsgehalte des Prümer Vertrages teilweise Bereiche der ehem. Europäischen Gemeinschaften betroffen wurden und bei vollständiger Übertragung ein Verstoß gegen das zum damaligen Zeitpunkt noch geltende Säulenmodell der EU befürchtet wurde. Daher wurde von einer Überführung der Bestimmungen zu den Flugsicherheitsbegleitern (Art. 17–19 PV) und der Überführung der Bestimmungen zu Maßnahmen der Bekämpfung illegaler Migration (Kapitel 4 PV) abgesehen. Mit Inkrafttreten und nationaler Umsetzung des Prümer Beschlusses entfalten seine Bestimmungen schließlich für sämtliche Mitgliedstaaten Geltungswirkung.9 All jene Bestimmungen des Prümer Vertrages, welche nicht ins EU-Recht überführt wurden, behalten dennoch ihre 4 Vertiefend zum Überführungsprozess den Prümer Vertrages in geltendes EU-Recht vgl. Guild, Merging security from the two-level game: Inserting the treaty of Prüm into EU Law? CEPS Policy brief Nr. 124, S. 2 ff.; Hummer, EuR 2007, S. 527 f.; Bellanova, Security vs. Justice (2008), S. 203 ff.; Kietz/Maurer, Jahrbuch ÖS (2007), S. 439 ff.; Guild/Geyer, JECL 2006; Balzacq et al., Security vs. Freedom (2006). 5 Hierunter befanden sich Belgien, Bulgarien, Deutschland, Spanien, Frankreich, Luxemburg, die Niederlande, Österreich, Slowenien, die Slowakei, Italien, Finnland, Portugal, Rumänien und Schweden. 6 Beschluss 2008/615/JI des Rates vom 23. Juni 2008 zur Vertiefung der grenzüberschreitenden Zusammenarbeit, insb. zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität, ABlEU Nr. L 210/1 v. 06.08.2008. 7 Beschluss 2008/616/JI des Rates v. 23. Juni 2008 zur Durchführung des Beschlusses 2008/615/JI zur Vertiefung der grenzüberschreitenden Zusammenarbeit, insb. zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität, ABlEU Nr. L 210/12 v. 06.08.2008. Im Folgenden als Durchführungsbeschluss Prüm abgekürzt. 8 KOM (2010) 385 endg., S. 56. 9 Niemeier/Zerbst, ERA Forum (8) 2007, S. 546.
112
§ 3 Das Prümer Modell der Verfügbarkeit
Wirksamkeit und finden zwischen den Vertragsparteien des Prümer Vertrags10 weiterhin Anwendung.11 Diese Parallelität inhaltlich gleichartiger Rechtsinstrumente offenbart das Verhältnis zwischen dem völkerrechtlichen Instrument des Prümer Vertrages und dem entsprechenden europarechtlichen Prümer Beschluss: Um die zukünftige Weiterentwicklung des EU-Rechts gewährleisten zu können wird dem Prümer Beschluss gegenüber der völkerrechtlichen Vereinbarung des Prümer Vertrages der Vorrang eingeräumt.12 Die Vorschriften des Prümer Vertrages sind insofern durch die konkordanten im Prümer Beschluss enthaltenen Regelungen verdrängt. Daher beschränkt sich die anschließende Darstellung darauf, auf die Vorschriften des Prümer Beschlusses und seines Durchführungsbeschlusses zu verweisen, wenn diese die aufgrund ihrer Inhaltsgleichheit die korellierende Vorschrift des Prümer Vertrages überlagern. Die Funktionsmechanismen des Prümer Vertrages und der Prümer Beschlüsse sind innerhalb des Informationsaustausches identisch, sodass insofern der Terminus des „Prümer Modells“ verwendet wird.
B. Regelungsgehalt des Prümer Modells Durch die Überführung der Regelungen des Prümer Vertrages in das EU-Recht erhofften sich die Mitgliedstaaten eine wesentliche Verbesserung der polizeilichen Zusammenarbeit zur Verhinderung und Verfolgung von Straftaten. Das Prümer Modell enthält somit gleichermaßen Bestimmungen für die polizeiliche Zusammenarbeit in den Bereichen der Gefahrenabwehr als auch Bestimmungen für die polizeiliche Zusammenarbeit zum Zwecke der repressiven Strafverfolgung. Der Anwendungsbereich des Prümer Modells ist dementsprechend breit gefächert und erfasst gleichsam Bestimmungen für die Datenübermittlung im Zusammenhang mit grenzüberschreitenden Großveranstaltungen (Kapitel 3 PB), für die Informationsübermittlung zur Verhinderung terroristischer Straftaten (Kapitel 4 PB) sowie Bestimmungen für Verfahren zur Intensivierung der polizeilichen Zusammenarbeit durch diverse Maßnahmen (Kapitel 5 PB). In Hinblick auf den Grundsatz der Verfügbarkeit erschafft das Prümer Modell wesentliche Neuerungen in Bezug auf das automatisierte Übermittlungsverfahren von DNA-Profilen, daktyloskopischen Daten und Daten aus nationalen Verkehrsregistern (Kapitel 1 PB). Einzigartig ist insb. das hierzu korrespondierende Datenschutzregime (Kapitel 6 PB) des Prümer Modells.
I. Erfasste Datenkategorien Im Gegensatz zu dem Entwurf des Rahmenbeschlusses zur Umsetzung des Grundsatzes der Verfügbarkeit, welcher insgesamt sechs Datenkategorien erfasste, beschränkt sich die Anwendbarkeit des Prümer Modells auf drei spezifische Datenkategorien, welche im Rahmen der polizeilichen Zusammenarbeit von entscheidender Bedeutung sind: DNA-Profile, daktyloskopische Daten und schließlich noch Fahrzeugregisterdaten. 10 Dies sind Belgien, Deutschland, Frankreich, Niederlande, Luxemburg, Spanien und Österreich. Vgl. Art. 35 Abs. 1 PB. 11 Niemeier/Zerbst, ERA Forum (8) 2007, S. 546. 12 BT-Drs. 16/1108, S. 46.
B. Regelungsgehalt des Prümer Modells
113
1. DNA-Profile Durch das Prümer Modell werden die beteiligten Staaten zunächst einmal verpflichtet, nationale DNA-Analysedateien nach Maßgabe ihres innerstaatlichen Rechts zu unterhalten.13 Hierdurch soll entsprechend dem Grundsatz der Verfügbarkeit gewährleistet werden, dass Fundstellendatensätze (Indexdaten) zum Bestand der nationalen DNAAnalysedateien vorhanden sind.14 Der Inhalt der Fundstellendatensätze beschränkt sich auf DNA-Profile15 , welche aus dem nicht codierenden Teil der DNA ermittelt werden, und eine Kennung. Sie dürfen somit keine Daten enthalten, durch welche der betroffene DNA-Träger unmittelbar identifiziert werden kann. Fundstellendatensätze, bei denen eine Zuordnung zu einer bestimmten Person nicht möglich ist (sog. „offene Spuren“), müssen als solche erkennbar sein. Diese Daten sind anschließend anderen Mitgliedstaaten in einem automatisierten Abrufverfahren sowie für einen automatisierten Abgleich der DNA-Profile zum Zwecke der Verfolgung von Straftaten zugänglich zu machen.16 Hierbei gestatten die Mitgliedstaaten fremdstaatlichen nationalen Kontaktstellen den Zugriff auf die Fundstellendatensätze ihrer DNA-Analysedateien. Darüber hinausgehend wird den nationalen Kontaktstellen das Recht eingeräumt, die Fundstellendatensätze automatisiert abzurufen (Art. 3 PB) und selbige mit eigenen nationalen DNA-Profilen abzugleichen. Grundsätzlich darf jede Anfrage nur im Einzelfall und nur nach Maßgabe des innerstaatlichen Rechts des abrufenden Mitgliedstaats erfolgen. Sobald im Zuge des automatisierten Abrufs eine Übereinstimmung eines übermittelten DNA-Profils mit einem DNA-Profil des empfangenden Mitgliedstaates festgestellt wird, erhält die nationale Kontaktstelle des abrufenden Staates die Information eines Treffers (sog. „hit“) und die Kennung der Fundstellendatensatzes, mit dem eine Übereinstellung festgestellt wurden ist, wird automatisiert übermittelt. Die Übermittlung weiterer zu den Fundstellendatensatz gehörender Informationen richtet sich nach dem innerstaatlichen Recht des ersuchten Staates (Art. 5 PB). Falls hingegen keine Übereinstimmung festgestellt werden kann (sog. „no-hit“), wird dies ebenfalls automatisch mitgeteilt. Jeder Mitgliedstaat benennt zur Durchführung der Datenübermittlung eine nationale Kontaktstelle, deren Befugnisse durch das jeweils geltende innerstaatliche Recht festgelegt sind (Art. 6 PB).17 Unter den Voraussetzungen des Art. 7 PB ist vorgesehen, dass im Zuge eines laufenden Ermittlungs- oder Strafverfahrens die Gewinnung molekulargenetischen Materials von einer im Hoheitsgebiet einer ersuchten Vertragspartei aufhältigen Person möglich ist.
13 In Deutschland existiert seit 1998 die unter Führung des Bundeskriminalamtes stehende sog. „DNA-Analysedatei für Strafverfolgungszwecke“. 14 Papayannis, ZEuS 2008, S. 231. 15 Der Terminus des DNA-Profils entspricht dem im deutschen Recht üblichen Begriff des DNAIdentifizierungsmusters. 16 Vgl. Art. 2–4 PB. Aden/Busch, in: Roggan/Kutscha, Handbuch Innere Sicherheit (2006), S. 519. Zu dem DNA-Austausch als technischem Beschleuniger der Strafverfolgung auf europäischer Ebene vgl. Prainsack/Toom, Brit.J.Criminol. (50), Nr. 6, 2010, S. 1121 f. 17 Nationale Kontaktstelle in Deutschland ist das Bundeskriminalamt, dessen Befugnisse richten sich nach dem BKAG.
114
§ 3 Das Prümer Modell der Verfügbarkeit
Besonders hervorzuheben ist, dass der automatisierte Abruf und Abgleich von DNAProfilen nur zum Zwecke der Strafverfolgung zulässig ist. Von eine Eingrenzung auf bestimmte Deliktsgruppen, z. B. durch Verwendung eines Straftatenkataloges wie er im Rahmen des Europäischen Haftbefehls zu finden ist, und eine damit verbundene Relevanzschwelle der verfolgten Straftaten wurde verzichtet. Somit ist ein DNA-Abgleich auch zur Verfolgung von Bagatellstraftaten möglich, obwohl dies z. B. nach deutschem Recht nur im Falle schwerer Sexualdelikte zulässig wäre. Im Gegenschluss ergibt sich durch den Wortlaut des Art. 2 Abs. 1 PB jedoch, dass der Abruf und Abgleich von DNA-Profilen, der nur zum Zwecke der Verhinderung von Straftaten und somit rein präventiv erfolgt, aufgrund der hohen Sensibilität der DNA-Daten unzulässig ist.18 2. Daktyloskopische Daten Weiterhin regelt das Prümer Modell den Austausch sog. daktyloskopischer Daten. Entsprechend der Legaldefinition des Durchführungsbeschlusses zum Prümer Beschluss19 stellen Finger- und Handabdrücke, sowie Finger- und Handabdruckspuren und schließlich auch Schablonen (sog. Templates) derartiger Abdrücke (codierte Minutien) daktyloskopische Daten dar, wenn diese in einer automatisierten Datenbank verarbeitet und gespeichert werden. Artikel 8 PB sieht die Errichtung von daktyloskopischen Indexdaten unter denselben Bedingungen vor, welche auch für DNA-Profile vorgesehen sind. Auch diese Daten sind somit zunächst einmal verfügbar zu machen. Um einen Austausch zu ermöglichen, sind die daktyloskopischen Daten als anonymisierte Fundstellendatensätze zu speichern, um eine unmittelbare Identifizierung des Betroffenen durch den abrufenden Staat zu verhindern. Die Mitgliedstaaten gestatten einander den automatisierten Abgleich dieser Fundstellendatensätze. Im Falle einer Übereinstimmung wird dem informationssuchenden Mitgliedstaat sodann automatisiert der Fundstellendatensatz des dateiführenden Mitgliedstaates übermittelt, anhand dessen er im Wege des üblichen Rechtshilfeverfahrens weitere zu dem Fundstellendatensatz vorhandene personenbezogene Daten nach dem innerstaatlichen Recht des ersuchten Mitgliedstaats erhalten kann. Im Gegensatz zu dem Abrufverfahren von DNA-Profilen, bei welchem ein Austausch nur zum Zwecke der Strafverfolgung zulässig ist, wird der Austausch daktyloskopischer Daten sowohl zum Zwecke der Verhinderung von Straftaten als auch zur Verfolgung von Straftaten ermöglicht (Art. 8 Abs. 1 PB). Der Austausch und Abgleich daktyloskopischer Daten verfolgt daher gleichermaßen präventive als auch repressive Zwecke. 3. Fahrzeugregisterdaten Schließlich erstreckt sich das Prümer Modell auch auf den automatisierten Abruf von Fahrzeugregisterdaten, wie bspw. Eigentümer- bzw. Halter-, aber auch Fahrzeugdaten. 18 Weichert, Wo liegt Prüm? Der polizeiliche Datenaustausch in der EU bekommt eine neue Dimension, S. 3; Papayannis, ZEuS 2008, S. 232. 19 Art. 2 lit. i des Beschlusses 2008/616/JI des Rates v. 23. Juni 2008 zur Durchführung des Beschlusses 2008/615/JI zur Vertiefung der grenzüberschreitenden Zusammenarbeit, insb. zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität, ABlEU Nr. L 210/12 v. 06.08.2008.
B. Regelungsgehalt des Prümer Modells
115
Dieser gestaltet sich jedoch nicht in Form des bei DNA-Profilen und daktyloskopischen Daten zur Anwendung kommenden hit/no-hit-Verfahrens. Vielmehr wird den mitgliedstaatlichen nationalen Kontaktstellen20 ein direkter, gegenseitiger Zugriff auf Fahrzeugregisterdaten ermöglicht. Im unmittelbaren Lesezugriff kann die nationale Kontaktstelle anhand eines vollständig bekannten Kfz-Kennzeichens oder einer vollständigen Fahrzeugidentifizierungsnummer Eigentümer- bzw. Halterdaten21 oder aber Fahrzeugdaten der Fahrzeugregister der anderen Mitgliedstaaten abrufen. Hierbei richtet sich die Zulässigkeit nach dem innerstaatlichen Recht des abrufenden Mitgliedstaates; ein Abruf durch deutsche Behörden müsste also z. B. in einem vergleichbaren innerdeutschen Fall zulässig sein.22 . Der automatisierte Abruf von Fahrzeugregisterdaten wird durch Art. 12 Abs. 1 S. 1 PB für weitreichende präventive und repressive Zwecke ermöglicht: So ist er sowohl zur Verhinderung als auch Verfolgung von Straftaten zulässig. Zudem darf ein Abruf auch zur Verfolgung solcher Verstöße erfolgen, die bei dem abrufenden Mitgliedstaat in die Zuständigkeit der Gerichte oder Staatsanwaltschaften fallen und zur Abwehr von Gefahren für die öffentliche Sicherheit notwendig sind. Dass ein Austausch von Daten zur „Verfolgung von solchen Verstößen, die bei dem abrufenden Mitgliedstaat in die Zuständigkeit der Gerichte oder Staatsanwaltschaften fallen“ ermöglicht wird, ist hierbei äußerst kritisch zu bewerten, da hierdurch ein automatisierter Austausch zur Verfolgung von Ordnungswidrigkeiten ermöglicht wird. Artikel 12 PB erfasst aufgrund seines Wortlautes nicht nur derartige Fallgestaltungen, in denen das Verfahren konkret bei der Staatsanwaltschaft oder bei Gericht anhängig ist, sondern lässt einen Austausch bereits dann zu, wenn zu irgendeinem Zeitpunkt des Verfahrens23 eine Zuständigkeit der Staatsanwaltschaft oder des Gerichts bestehen kann.24 Die Unterscheidung zwischen Straftaten und Ordnungswidrigkeiten bei im Straßenverkehr begangenen Handlungen ist innerhalb der Mitgliedstaaten höchst uneinheitlich, sodass sich der europäische Gesetzgeber veranlasst sah, Ordnungswidrigkeiten im Rahmen des Art. 12 RB einzubeziehen.25 Wäre der Abruf von Fahrzeugregisterdaten für die Verfolgung von Ordnungswidrigkeiten ausgeklammert worden, hätte dies in der Praxis zu unterschiedlichen Behandlungen ein und derselben Tat geführt. Der Datenaustausch wäre somit vom Begehungsort der relevanten Handlung abhängig geworden. Während bspw. eine im Straßenverkehr begangene Tat in einen Mitgliedstaat als Straftat augestaltet ist und somit ein Austausch nach den Regelungen des Prümer Modells erfolgen könnte, wäre in einem anderen Mitgliedstaat, in welchem dieselbe Tat nur eine Ordnungswidrigkeit darstellt, ein Austausch nach Maßgabe des Prümer Modells ausgeschlossen. Diese Ungleichbehandlung wird folglich durch Art. 12 PB verhindert. Die Einbindung von Ordnungswidrigkeiten kann naturgemäß in einzelnen Mitgliedstaaten zu praktischen Kapazitätsproblemen führen. Die Mitgliedstaaten können insofern 20 Nationale deutsche Kontaktstelle für eingehenden Ersuchen ist das Kraftfahrt-Bundesamt, während für ausgehende Ersuchen (Abrufe im Ausland) das BKA die nationale Kontaktstelle ist. 21 In Deutschland können nur die Halterdaten abgerufen werden. 22 Diese Zulässigkeit richtet sich im deutschen Recht nach den Vorschriften des Straßenverkehrsgesetzes (StVG). 23 Beispielsweise nach einem Einspruch gegen einen Bußgeldbescheid. 24 BT-Drs. 16/1108, S. 36. 25 BT-Drs. 16/1108, S. 36.
116
§ 3 Das Prümer Modell der Verfügbarkeit
den ihnen zugestandenen Spielraum bei der Umsetzung des Prümer Modells nutzen, um Kapazitätsproblemen entgegenzuwirken. Es ist zu berücksichtigen, dass das Prümer Modell vorrangig der Bekämpfung von Straftaten dient und diesen Anfragen der Vorrang gegenüber solchen Anfragen einzuräumen ist, welche Ordnungswidrigkeiten verfolgen.26 Falls der Austausch zum Zwecke der Gefahrenabwehr für die öffentliche Sicherheit erfolgt, besteht Konsens darüber, dass bloße Verstöße gegen gesellschaftliche Konventionen keine Befugnis zum automatisierten Datenabruf nach Art. 12 PB begründen können.27
II. Datenschutzkonzeption des Prümer Modells Sobald mitgliedstaatliche Strafverfolgungsbehörden Daten erheben, speichern oder austauschen, entsteht zwangsläufig das Erfordernis, ein ausgewogenes Datenschutzkonzept zu errichten, um Betroffenenrechte zu wahren. Das Prümer Modell führt mit seinem sog. hit/no-hit Verfahren eine datenschutzrechliche Innovation ein, welche für den Austausch strafverfolgungsrelevanter personenbezogener Daten in dieser Form noch nicht bestand. Bevor im Fortgang dieser Arbeit die Ausgestaltung des hit/no-hit-Verfahrens detailliert dargestellt wird, gilt es, sich zunächst einen Überblick über die innerhalb der polizeilichen Zusammenarbeit existierenden sekundärrechtlichen Datenschutzrechtsakte zu verschaffen. 1. Exkurs: Datenschutzregime innerhalb der polizeilichen Zusammenarbeit a) Sicherheit versus Freiheit Das Ziel, einen Raum der Freiheit, der Sicherheit und des Rechts zu schaffen, ist eine zentrale Politik der EU geworden. Während der flüchtige Leser der relevanten Bestimmungen im AEUV ein vermeintlicher Dreiklang und ein ausgewogenes gleichberechtigtes Verhältnis der Bereiche als Idealvorstellung vor Augen hat, so stellt das gleichberechtigte Nebeneinander dieser Bereiche, im Speziellen das Ausbalancieren der Interessen der Sicherheit und der Freiheit, eines der wesentlichen Probleme innerhalb der grenzüberschreitenden polizeilichen Zusammenarbeit dar. Sowohl die Schwedische Initiative als auch das Prümer Modell ermöglichen den mitgliedstaatlichen Strafverfolgungsbehörden einen Austausch personenbezogener Daten zur Abwehr bestehender Sicherheitsbedrohungen. Wie bereits dargestellt, werden auf Basis dieser Rechtsakte besonders sensible Daten, wie z. B. DNA-Daten des Betroffenen, an andere staatliche Behörden übermittelt, verarbeitet und verwertet. Ein solcher Datenaustausch wird als essentiell für die Bekämpfung grenzüberschreitender Kriminalität angesehen, um kollektive Sicherheitsinteressen der Mitgliedstaaten der EU zu befriedigen. Die an der Strafverfolgung beteiligten Polizeiund Justizbehörden sollen befähigt werden effizient ihre gesetzlichen Aufgaben zu erfüllen, um die Allgemeinheit wirksam vor Straftaten, insb. vor terroristisch motivierten Taten oder aber Straftaten der organisierten Kriminalität, zu schützen. Dieses staatliche 26 So ausdrücklich der Deutsche Bundestag in BT-Drs. 16/1108, S. 36. Identisch insofern auch Erwägungsgrund 15 des RB 2008/615/JI. 27 So BT-Drs. 16/1108, S. 36.
B. Regelungsgehalt des Prümer Modells
117
Interesse kann jedoch nicht für sich allein isoliert gesehen werden, da die Begriffselemente Freiheit, Sicherheit und Recht in einem untrennbaren Zusammenhang stehen und wechselseitig aufeinander bezogen sind28 . Ein effektives Funktionieren der PJZS ist ohne das Sammeln, Speichern und Übermitteln personenbezogener Daten nicht denkbar. Neben dem Normalfall, dass der Verdächtige selbst Betroffener dieser Maßnahmen ist, handelt es sich bei einem Großteil der ausgetauschten personenbezogenen Daten jedoch um solche, welche Interessen Dritter betreffen, die gerade nicht verdächtigt werden, eine Straftat begangen zu haben bzw. begehen zu wollen, wie z. B. Daten des Tatopfers, von Zeugen, Nachbarn oder Personen, welche im Kontakt mit dem Verdächtigen stehen. Entsprechend der Verhältnismäßigkeitsschranke des Art. 8 GRC sollen Informationen nur dann ausgetauscht werden, wenn dies für die Erfüllung der gesetzlich festgelegten Zwecke zwingend erforderlich ist. Immer dann, wenn Informationen unter dem Verfügbarkeitsgrundsatz schneller, einfacher und direkter ausgetauscht werden können, werden individuelle Freiheitsrechte, insb. das Recht auf Datenschutz, zu einem erhöhten Grade beeinträchtigt. Betrachtet man die neueren Datenverarbeitungsentwicklungen in Bezug auf die Umsetzung des Verfügbarkeitsgrundsatzes, so entsteht schnell der Eindruck, dass das Verhältnis von staatlichen Sicherheitsinteressen und Datenschutzrechten – zum Nachteil der letzteren – aus der Balance gekommen ist. Der Grundsatz der Verfügbarkeit knüpft maßgeblich an der Grundkonstellation an, dass vorhandene Daten ungehindert zwischen mitgliedstaatlichen Strafverfolgungsbehörden ausgetauscht werden können und ohne Hindernisse zugänglich sein sollen. Hierbei wird der Eingriff in die Rechte des Einzelnen zum Grundsatz staatlichen Handelns, anstatt eine Ausnahme zu bleiben, welche gesonderter und erhöhter Rechtfertigung bedarf. Der Datenschutz verkümmert zu einem bloßen Gegenrecht der staatlichen Sozialkontrolle.29 Das staatliche Sicherheitsinteresse steht unabdingbar in wechselseitigem Bezug zu den Interessen der betroffenen Individuen. Durch die Weitergabe personenbezogener Daten werden ureigenste individuelle Freiheitsrechte des Betroffenen, wie z. B. das Datenschutzgrundrecht des Art. 8 GRC, beeinträchtigt. Der unionale Gesetzgeber muss diese individuellen Rechte schützen und berücksichtigen. Nicht zuletzt hat er dafür Sorge zu tragen, das Risiko einer Nichtvereinbarkeit mit grundlegenden Datenschutzprinzipien zu minimieren und die rechtlichen Voraussetzungen zur Durchsetzung materieller bzw. immaterieller Schadensersatzansprüche aufgrund unrechtmäßiger Datenverarbeitung zu schaffen. Gegebenfalls kann hierfür eine Anpassung der geltenden europäischen Rechtsnormen erforderlich sein. Immer dann, wenn Daten und Informationen für die beteiligten Behörden aller Mitgliedstaaten einfacher zu erlangen sind, wird die Qualität der mobilen Daten umso wichtiger, da falsche, abgelaufene oder aber unvollständige Informationen die Effizienz der Arbeit der mitgliedstaatlichen Strafverfolgungsbehörden entscheidend schwächen können. Ein funktionierendes und umfassendes Datenschutzkonzept ist somit essentiell für das Ausbalancieren unterschiedlichster Interessen.
28 Wasmeier/Jour-Schröder, in: von der Groeben/Schwarze, EU/EG-Vertrag (2003), Art. 29 EUV, Rdn. 3. 29 Braum, KritV 2008, S. 85. In diesem Sinne auch Böse, Grundsatz der Verfügbarkeit (2007), S. 51 ff., welcher Grundrechte als „Informationshilfegegenrechte“ versteht.
118
§ 3 Das Prümer Modell der Verfügbarkeit
Während innerhalb der ehemaligen 1. Säule durch die Datenschutzrichtlinie 95/46/EG30 ein Mindestschutzsystem für die Verarbeitung personenbezogener Daten innerhalb der Europäischen Gemeinschaften geschaffen wurde, fehlte innerhalb der ehemaligen dritten Säule lange Zeit ein entsprechendes umfassendes Datenschutzregime für all jene personenbezogenen Daten, welche zwischen Strafverfolgungsbehörden der Mitgliedstaaten ausgetauscht werden. Anders als im Gemeinschaftsrecht sind die datenschutzrechtlichen Regelungen innerhalb der PJZS zersplittert und auf zahlreiche Rechtsakte verteilt. Diese sehen teils spezifische Datenschutzregime für bestimmte Deliktsgruppen, für spezifische Arten von Informationen oder spezifische Datenschutzregelungen für bestimmte Organisationen vor. b) Allgemeine Datenschutzregelungen aa) Richtlinie 95/46/EG Die Richtlinie 95/46/EG stellt das zentrale Kerninstrument für den Austausch personenbezogener Daten innerhalb der Europäischen Gemeinschaften dar. Neben den 27 EUMitgliedstaaten haben zudem auch die drei EWR-Staaten – Liechtenstein, Island und Norwegen – und die Schweiz die Richtlinie in innerstaatliches Recht umgesetzt, sodass das Ziel eines freien Verkehrs von Informationen unabhängig von den bestehenden Landesgrenzen erreicht werden kann. Sie regelt zum einen die Grundsätze bzgl. der Datenqualität und legt Kriterien fest, nach denen die Datenverarbeitung zulässig ist und bestimmt zum anderen die wesentlichen Rechte des betroffenen Individuums, wie etwa Auskunfts-, Beschwerde- und Löschungsrechte. Die durch die Richtlinie eingeräumten Rechte können von dem betroffenen Individuum gegenüber den mitgliedstaatlichen unabhängigen Datenschutzbehörden geltend gemacht werden, da es deren Aufgabe ist, die rechtmäßige Umsetzung der Richtlinie zu überwachen. Zudem wird durch die Richtlinie auch der Transfer personenbezogener Daten an sog. Drittstaaten geregelt: Hierbei besteht im Grundsatz ein Verbot, die sensiblen Informationen mit Drittstaaten auszutauschen, wenn in dem Drittstaat kein adäquates Datenschutzniveau gewährleistet werden kann. Auch wenn die RL 95/46/EG zumindest innerhalb der EG einen wichtigen Beitrag zur Harmonisierung des Datenschutzrechtes leistete, können ihre Regelungen nicht ohne weiteres auf den Bereich der polizeilichen und justiziellen Zusammenarbeit angewandt werden. Ihr Art. 3 Abs. 2 UAbs. 1 klammert die Anwendung auf die Verarbeitung personenbezogener Daten, welche nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, namentlich die PJZS, aus. Auch die Abschaffung der Säulenarchitektur durch den Vertrag von Lissabon ändert nichts an diesem Befund: Art. 3 der Richtlinie schließt die Anwendung ausdrücklich für jeden Fall der Datenweitergabe aus, bei welcher öffentliche Sicherheit, Verteidigung, Sicherheit des Staates und staatliche Aktivitäten in den Bereichen des Strafrechts betroffen sind. Dementsprechend gelten die durch die Richtlinie erschaffenen Datenschutzmaßstäbe nicht für die polizeiliche und justizielle Zusammenarbeit.31 An dieser Situation änderte auch das Inkrafttreten des Lissabonner Vertrages nichts, da 30 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. 2001 Nr. L 8/1. 31 Vgl. dazu Hijmans, ERA Forum 2010, S. 221; Braum, KritV 2008, S. 84 sowie Simitis, BDSG (2011), S. 212.
B. Regelungsgehalt des Prümer Modells
119
zuvor verabschiedete Rechtsakte bis zu ihrer Anpassung Geltung behalten. Auch wenn RL 95/46/EG somit für den zwischenstaatlichen Datenaustausch der Strafverfolgungsbehörden nicht anwendbar ist, so bildet sie dennoch den maßgeblichen Bezugspunkt für die Entwicklung des Datenschutzregimes innerhalb des Raumes der Sicherheit, der Freiheit und des Rechts. Diese Relevanz ergibt sich aus dreierlei Umständen: Zunächst ist die RL 95/46/EG auf ausgewählte Politikbereiche des RFSR anwendbar, namentlich in den Bereichen der Einwanderung, der Visa- oder aber auch der Asylpolitik.32 Weiterhin wurden durch die Richtlinie mitgliedstaatliche Datenschutzbehörden sowie das unabhängige Datenschutzkontrollgremium der Art. 29-Gruppe geschaffen. Schließlich diente die Datenschutzrichtlinie der ersten Säule als „Mutter im Geiste“ und Patin für die Schaffung datenschutzrechtlicher Äquivalente innerhalb der PJZS.33 bb) Rahmenbeschluss 2008/977/JI zum Schutz personenbezogener Daten Während innerhalb der ehemalig ersten Säule sehr schnell die Notwendigkeit bezüglich einer übergreifenden Datenschutzregelung erkannt wurde, suchte man innerhalb der polizeilichen und justiziellen Zusammenarbeit jahrelang vergeblich nach einer Datenschutzregelung, welche einen allumfassenden Schutz all jener personenbezogener Daten, die zwischen den Strafverfolgungsbehörden ausgetauscht werden, gewährleisten kann. Angesichts der 2008 vermeintlich bevorstehenden Umsetzung des Rahmenbeschlusses zur Umsetzung des Grundsatzes der Verfügbarkeit wurde schließlich erstmalig in Anlehnung an die Datenschutzrichtlinie 95/46/EG der Versuch angestrengt, allgemeingültige Datenschutzprinzipien für die polizeiliche und justizielle Zusammenarbeit zu normieren. Mit seinen Mindestanforderungen für die Verwendung der übermittelten Daten stellt der Rahmenbeschluss daher das Komplementär zum RBDatA dar.34 Ob der Rahmenbeschluss 2008/977/JI den Anspruch erfüllt, allgemeingültige Datenschutzmindeststandards auf EU-Ebene festzusetzen, muss stark bezweifelt, wenn im Ergebnis nicht sogar abgelehnt, werden.35 Ein Direktvergleich des RB 2008/977/JI mit der DS-RL 95/46/EG lässt die Mängel des ersteren deutlich hervor treten. (1) Defizite des Anwendungsbereiches Zunächst ist der Anwendungsbereich des Rahmenbeschlusses stark begrenzt. Er ist lediglich auf den rein zwischenstaatlichen Datenaustausch anwendbar (Art. 1); innerstaatliche Verarbeitungsvorgänge personenbezogener Daten werden somit vollständig ausge32 Das Datenschutzregime der RL 95/46/EG gilt für das Schengener Informationssystem II (SIS II), Eurodac, das Visa Informationssystem (VIS), das Neapel-II-Übereinkommen und das Zollinformationssystem (ZIS). 33 de Hert/Riehle, ERA Forum 2010, S. 160. 34 Hoffmann-Holland, Stellungnahme zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Innenausschusses des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 17. 35 Zur allgemeinen Kritik siehe Eisele, in: Sieber et al., EuStR (2011), § 50, Rdn. 14, Europäische Kommission, Gesamtkonzept für den Datenschutz in der Europäischen Union v. 4.11.2010, KOM (2010) 609, S. 15.
120
§ 3 Das Prümer Modell der Verfügbarkeit
klammert. Zwar erfasst RB 2008/977/JI die spezifische Verwendung der ausgetauschten Daten im Empfängerstaat, nicht abgedeckt ist jedoch die erstmalige Erhebung personenbezogener Daten durch die mitgliedstaatlichen Strafverfolgungsbehörden.36 Darüber hinaus wird weiterhin die Datenverarbeitung durch Polizei- und Strafverfolgungsbehörden auf nationaler Ebene von dem Rahmenbeschluss nicht erfasst, obwohl die übermittelten Daten im Empfängerstaat mit den dort erhobenen Daten zusammengeführt werden.37 Die innerhalb des Unionsgebietes divergierenden Datenschutzstandards der Mitgliedstaaten werden insofern nicht vereinheitlicht; der Zustand der Defragmentierung bleibt bestehen. Eine angemessene Angleichung der Datenschutzvorschriften der Mitgliedstaaten kann auf diese Weise gerade nicht erreicht werden.38 Durch die Ausklammerung innerstaatlicher Verarbeitungsvorgänge erwachsen zudem praktische Probleme für die datenverarbeitenden nationalen Strafverfolgungsbehörden. Ein großer Anteil der polizeilichen Datenverarbeitung wird durch die herkömmliche Methode des Aktenanlegens praktiziert. Daten werden verarbeitet, indem sie zur Akte genommen werden. Auf diese herkömmlichen Arbeitsmethoden findet der Rahmenbeschluss ebenfalls keine Anwendung. Darüber hinausgehend können auch bei der durch den Rahmenbeschluss erfassten Verarbeitung elektronischer Akten Probleme entstehen:39 Wenn eine Strafverfolgungsbehörde eine Strafakte anlegt, so kann sich diese Strafakte aus Daten unterschiedlichster Behörden zusammensetzen. Ein Großteil der Akten enthält sowohl innerstaatlich erhobene Daten wie auch auszutauschende oder ausgetauschte Daten. Bei solchen Akten kann es nun zu einer Divergenz des anzuwendenden Datenschutzmaßstabes kommen. Während für die zum Austausch bestimmten Daten das Schutzniveau des RB 2008/977/JI gilt, wäre für die nicht auszutauschenden Daten das nationale Datenschutzrecht anzuwenden. Die Strafverfolgungsbehörde müsste fortan zwischen Aktenbestandteilen, welche innerstaatlich erhobene Daten enthalten, und Aktenbestandteilen, welche übermittelte oder zu übermittelnde Daten enthalten, differenzieren, obgleich es sich in einem Großteil der Fälle meist faktisch um eine 36 Körffer, Stellungnahme des ULD zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union “, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 2. 37 Schaar, Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 3; Körffer, Stellungnahme des ULD zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union “, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 2; Tätigkeitsbericht 2007 und 2008 des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, 22. Tätigkeitsbericht, BT-Drs. 16/12600, S. 129. 38 Neben diesem Widerspuch zu ex-Art. 34 Abs. 2 lit. b EUV rügt Hustinx zugleich auch den Widerspruch zu ex-Art. 30 Abs. 1 lit. b EUV, da durch den Rahmenbeschluss kein wirksamer Schutz personenbezogener Daten gewährleistet werden kann. Vgl. Dritte Stellungnahme des Europäischen Datenschutzbeauftragten zu dem Vorschlag für einen Rahmenbeschluss des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, ABlEU Nr. C 139/2 v. 23.06.2007. 39 Zu dem folgenden Beispiel siehe die Zweite Stellungnahme des Europäischen Datenschutzbeauftragten zu dem Vorschlag für einen Rahmenbeschluss des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, ABlEU Nr. C 91/9 v. 26.04.2007, S. 10, Nr. 13.
B. Regelungsgehalt des Prümer Modells
121
einzige Datei handelt. Ein solches Vorgehen resultiert schließlich – unabhängig von dem Gesichtspunkt, dass es einen erheblichen (personalen und technischen) Mehraufwand für die Behörde bedeutet – in einer Rechtsunsicherheit auf Behörden- wie auch Betroffenenseite. Die Behörde muss vorab die geltende Datenschutzrechtsgrundlage bestimmen, da der RB nur auf grenzüberschreitende Sachverhalte anwendbar ist. Dies ist nicht ohne weiteres möglich, da gerade im Zeitpunkt der Erhebung der Daten zumeist noch nicht feststeht, ob diese Daten im Fortgang der Ermittlungen noch zwischenstaatlich ausgetauscht werden sollen oder nicht.40 Diese Unsicherheiten bzgl. des Anwendungsbereiches des RB 2008/977/JI enden auf Seiten des Betroffenen schließlich in einer Rechtsunsicherheit bezüglich seiner Rechte auf Einsicht, Berichtigung oder aber Löschung seiner personenbezogenen Daten. Die Durchsetzung der dem Betroffenen zwingend nach Art. 8 GRC zu gewährenden Folgeansprüche wird hierdurch erschwert. Auch in Hinblick auf die Zielsetzung des Rahmenbeschlusses kann die Ausklammerung innerstaatlicher Datenverarbeitungsvorgänge nicht überzeugen. Der Rahmenbeschluss soll dem Betroffenen zunächst Garantien gegen die missbräuchliche Verwendung seiner persönlichen Daten gewähren. Bei der Verarbeitung seiner Daten ist jedoch unerheblich, ob die betreffenden Daten im Rahmen eines Austausches zwischen den Mitgliedstaaten oder in einem rein innerstaatlichen Kontext verarbeitet werden41 , da auch im innerstaatlichen Verarbeitungskontext seine Rechte betroffen sind. Die innerhalb der Erwägungsgründe des RB programmatisch beschworene Zielvorstellung, gegenseitiges Vertrauen zwischen den Mitgliedstaaten aufzubauen, bleibt in Anbetracht der vorherigen Ausführungen insofern nur eine politische Hülle ohne Inhalt. Einheitliche Mindestschutzstandards innerstaatlicher Verarbeitungsvorgänge werden nicht gesetzt. Vertrauen zwischen den Mitgliedstaaten kann daher von Beginn an schon nicht entstehen. Weiterhin lässt RB 2008/977/JI die Verpflichtungen und Zusagen der Mitgliedstaaten oder der Union aufgrund bilateraler oder multilateraler Übereinkünfte mit Drittstaaten, die vor der Annahme dieses Rahmenbeschlusses abgeschlossen wurden, unberührt.42 Daten aus Drittstaaten, welche nicht zwischen den Mitgliedstaaten ausgetauscht werden, unterfallen somit nicht dem Schutz des Rahmenbeschlusses. Diese zusätzliche Beschränkung des Anwendungsbereiches kann zu erheblichen Rechtsschutzlücken für den Betroffenen führen, wenn bspw. in dem Drittstaat der Grundsatz der Datenrichtigkeit nicht gilt. Auch wenn Art. 13 des Rahmenbeschlusses die Weiterleitung von Daten an Drittstaaten nur bei Vorliegen bestimmter Voraussetzungen ermöglicht43 , so genügt im Rahmen des Art. 13 Abs. 1 lit. d, dass der Drittstaat ein angemessenes Schutzniveau für die Datenverarbei40
Hijmans/Scirocco, CML Rev. (46) 2009, S. 1494. Zweite Stellungnahme des Europäischen Datenschutzbeauftragten zu dem Vorschlag für einen Rahmenbeschluss des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, ABlEU Nr. C 91/11 v. 26.04.2007, Nr. 15. 42 Vgl. Art. 26 und Vorbemerkung Nr. 38. 43 So fordert Art. 13 Abs. 1, dass a) dies zur Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder zur Vollstreckung strafrechtlicher Sanktionen erforderlich ist; b) die empfangende Stelle in dem Drittstaat oder die empfangende internationale Einrichtung für die Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen zuständig ist; c) der Mitgliedstaat, von dem er die Daten erhalten hat, der Weiterleitung unter Beachtung seines innerstaatlichen Rechts zugestimmt hat; und d) dieser Drittstaat oder diese internationale Einrichtung ein angemessenes Schutzniveau für die beabsichtigte Datenverarbeitung gewährleistet. 41
122
§ 3 Das Prümer Modell der Verfügbarkeit
tung gewährleistet. Der übermittelnde Mitgliedstaat muss folglich lediglich eine Angemessenheitsprüfung vornehmen, in dessen Rahmen er die Art der Daten, die Zweckbindung und auch die Dauer der Verarbeitung zu berücksichtigen hat (vgl. Art. 13 Abs. 4). Auf eine Gleichwertigkeitsprüfung des Datenschutzniveaus im Drittland, in dessen Rahmen auch der Grundsatz der Datenrichtigkeit zu berücksichtigen wäre, wird bewusst verzichtet. Der Schutz personenbezogener Daten wird insofern stark zu Ungunsten des Betroffenen auf ein Mindestmaß reduziert. Unabhängig von diesem ohnehin herabgesetzten Schutzniveau erlaubt es der Rahmenbeschluss den Mitgliedstaaten auf die Angemessenheitsprüfung zu verzichten, wenn „überwiegende schutzwürdige Interessen der betroffenen Person“, „überwiegende berechtigte Interessen, insb. wichtige öffentliche Interessen“ vorliegen, oder „der Drittstaat oder die empfangende internationale Einrichtung Garantien bietet und diese vom betreffenden Mitgliedstaat in Übereinstimmung mit ihrem jeweiligen innerstaatlichen Recht für angemessen befunden werden“ (vgl. Art. 13 Abs. 3). Die Unbestimmtheit dieser Kriterien überlässt den mitgliedstaatlichen Regierungen einen sehr weiten Einschätzungsspielraum, der nur schwerlich justiziabel ist.44 Die Einhaltung des durch Art. 8 GRC notwendig zu wahrenden Verhältnismäßigkeitsgrundsatzes wird somit teilweise aufgegeben und zur Disposition der am Austausch beteiligten Staaten gestellt. (2) Mangelnde Einhaltung der Datenschutzgrundsätze Art. 3 des RB 2008/977/JI überträgt die parallel in RL 95/46/EG geregelten Datenschutzgrundsätze der Zweckbindung, der Verhältnismäßigkeit und der Datenrechtmäßigkeit auf den Bereich der PJZS und konkretisiert sie durch bereichsspezifische Ergänzungen. Grundsätzlich dürfen personenbezogene Daten nur zu festgelegten, eindeutigen und rechtmäßigen Zwecken erhoben und nur zu dem Zweck verarbeitet werden, zu dem die Daten erhoben worden sind (Art. 3 Abs. 1). Diese Zweckbindung wird aufgeweicht, indem unter den Voraussetzungen des Art. 3 Abs. 2 eine Weitergabe der Daten zu einem anderen Zweck möglich ist. Abweichungen von dem Zweckbindungsgrundsatz sind nur zulässig, wenn sie durch das Recht vorgesehen und eine notwendige Maßnahme unter anderem zu den in Art. 11 aufgezählten Zwecken sind. Nach ständiger Rechtsprechung des EGMR45 müssen diese Abweichungen nach Art. 8 Abs. 2 EMRK verhältnismäßig, genau und vorhersehbar sein. Kritisch ist hierbei zunächst hervorzuheben, dass Art. 3 Abs. 2 i. V. m. Art. 11 zahlreiche Ausnahmen vom Zweckbindungsgrundsatz vorsieht. Insbesondere wird auf das Erfordernis verzichtet, dass die Weitergabe notwendig sein muss. Unklar bleibt zudem auch, was unter „anderen verwaltungsbehördlichen Verfahren“ im Sinne des Art. 11 Abs. 1 lit. b zu verstehen ist.46 Insgesamt ist festzuhalten, dass in Bezug auf die Ausnahmen vom Zweckbindungsgrundsatz innerhalb des RB 2008/977/JI durch den Blick auf die zusätzliche Generalklausel des Art. 11 Abs. 1 lit. d, welcher die Weitergabe zu jedem anderen Zweck ermöglicht solange der übermittelnde Staat zugestimmt
44
de Hert/Riehle, ERA Forum 2010, S. 164. Statt aller EGMR, Rotaru vs. Rumänien, Urteil v. 04.05.2000, BeschwerdeNr. 28341/95, ECHR 2000-V. 46 Dritte Stellungnahme des EDSB zu dem Vorschlag für einen Rahmenbeschluss des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, ABlEU Nr. C 139/5 v. 23.06.2007, Nr. 23. 45
B. Regelungsgehalt des Prümer Modells
123
oder aber der Betroffenen eingewilligt hat, die notwendige Bestimmtheit des Zweckbindungsgrundsatzes nicht gewährleistet wird.47 Ein wesentlicher Bestandteil des Grundsatzes der Zweckbindung ist zudem, dass zwischen Gefahrenabwehr und Strafverfolgung sorgfältig unterschieden werden muss.48 Neben der Ermittlung, Feststellung oder Verfolgung von Straftaten erfasst der Anwendungsbereich des RB jedoch auch deren Verhütung. Die für das deutsche Recht traditionelle Trennung zwischen Strafverfolgung und Gefahrenabwehr wird durch den RB nicht vorgenommen. Werden personenbezogene Daten zum Zwecke der Verhütung von Straftaten ausgetauscht, so kann der bloße Verdacht, dass jemand in nicht absehbarer Zukunft eine Straftat begehen wird, nach deutscher Rechtslage gerade nicht ausreichen, um einen Eingriff zu rechtfertigen.49 Durch den Rahmenbeschluss werden jedoch sog. typische Vorfeldmaßnahmen und Gefahrenermittlungseingriffe in den Bereich der Strafverfolgung integriert, mit der Folge einer Vorverlagerung der Strafverfolgung.50 Als Maxime staatlichen Handelns muss hierbei gelten, dass die Grenzen des Rechts auf Datenschutz umso strenger zu interpretieren sind, je weiter die Datenerhebung in das Vorfeld der Straftat reicht.51 Diese hierbei erforderliche Differenzierung nach Intensität und Ausmaß des Eingriffs in das Recht auf Datenschutz wird durch den Rahmenbeschluss aber gerade nicht vorgenommen. Auch in Bezug auf den Grundsatz der Datenqualität treten die Unzulänglichkeiten des Rahmenbeschlusses deutlich hervor. So muss die Verarbeitung personenbezogener Daten ihrer Zweckbestimmung entsprechen, rechtmäßig und in dem für diesen Zweck nötigen Ausmaß genau, vollständig und aktuell sein (vgl. Art. 3 Abs. 1 S. 1). Durch Art. 8 des Rahmenbeschlusses verpflichten sich die datenverarbeitenden Behörden die Qualität der übermittelten und bereitgestellten Daten durch Überprüfungen sicherzustellen. Unter anderem sind bei jeder Übermittlung Informationen beizufügen, welche es dem Empfängerstaat gestatten, die Richtigkeit, Vollständigkeit, Aktualität und Zuverlässigkeit der Daten zu beurteilen. Indes ermangelt es dem Rahmenbeschluss jedoch an einer Kategorisierung der Datenqualität, in welcher den jeweiligen Datenkategorien entsprechend zwischen dem Grad der Richtigkeit und Zuverlässigkeit unterschieden wird.52 Zudem fehlt – dem Grundsatz 3.2 der Empfehlung R (87) 15 entsprechend – eine festgesetzte Verpflichtung Daten, welche auf Fakten beruhen, und Daten, welche auf Meinungen oder persönlichen Einschätzungen fußen, gesondert zu kennzeichnen.53 In der Praxis wird es den betroffenen Strafverfolgungsbehörden nicht möglich sein festzustellen, ob es sich bei den Daten nun 47 So auch Hijmans/Scirocco, CML Rev. (46) 2009, S. 1494. Zudem kann der RB nicht die Mindestempfehlungen des Europarates umsetzen, vgl. Empfehlung Nr. R (87) 15 des Ministerkomitees. 48 Hierzu BVerfG, 1 BvR 2226/94 v. 17.07.1999, Rdn. 241. 49 BVerfG, 1 BvF 3/92 v. 03.03.2004, Rdn. 129. 50 Kritisch hierzu auch Weichert in Tätigkeitsbericht 2008 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, S. 173, zugleich LT-Drs. 16/1839. 51 Vgl. hierzu BVerfG, 1 BvF 3/92 v. 03.03.2004, Rdn. 161; BVerfG 1 BvR 2226/94 v. 14.7.1999, Rdn. 277; Braum, KritV 2008, S. 88. 52 Vgl. nur KOM (2010) 609 endg., S. 15, sowie auch die dritte Stellungnahme des EDSB zu dem Vorschlag für einen Rahmenbeschluss des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, ABlEU Nr. C 139/7 v. 23.06.2007, Nr. 32. 53 KOM (2010) 609 endg., S. 15.
124
§ 3 Das Prümer Modell der Verfügbarkeit
um Beweise, Fakten, harte Daten54 oder aber um bloße weiche Daten55 handelt.56 Eine solche Differenzierung ist jedoch Grundlage für das Ergreifen zahlreicher Gefahrenabwehrmaßnahmen bzw. bestimmter Maßnahmen im Ermittlungsverfahren, welche gerichtlich überprüfbar sind. Wesentliches Ziel des Grundsatzes der Datenrichtigkeit ist es aber gerade, einen umfassenden Schutz des Betroffenen zu gewährleisten. Es ist unumstritten, dass eine Datenweitergabe die höchste Eingriffsintensität aufweist, wenn sie sich gegen einen unverdächtigen Betroffenen richtet. Als Ausprägung des in Art. 8 GRC verankerten Verhältnismäßigkeitsgrundsatzes sind daher insb. die Interessen des unverdächtigen Betroffenen in höchstem Maße schutzbedürftig und erfordern besondere Garantien, um eine Missgewichtung zwischen kollektiven Sicherheitsinteressen und individueller Freiheit zu verhindern. Durch den RB 2008/977/JI wird indes der Personenkreis, der von einer Datenerhebung betroffen sein kann, erheblich erweitert.57 So fehlt eine Unterscheidung der möglichen betroffenen Personenkreise vollständig. Ein Unverdächtiger wird somit in seiner Schutzbedürftigkeit dem Verdächtigen, einem Zeugen, dem Tatopfer oder auch dem Straftäter gleichgestellt. Diese Vernachlässigung der besonderen Schutzbedürftigkeit des Unverdächtigen unterläuft nicht nur Grds. 2 der Empfehlung Nr. R (87) 15, sondern erschwert zudem auch die Arbeit der Behörden. Die umfassende Nutzung der Daten durch den Empfängerstaat ist nicht umgehend möglich, da dessen Behörden vorab bestimmen müssen wie die empfangenen Daten einzustufen sind.58 In Hinblick auf die steigende Relevanz von Profilingtechniken, welche das Bestimmen eines Täters ermöglichen sollen, dessen Identität den Behörden unbekannt ist, sind die Regelungen des Rahmenbeschlusses in Bezug auf automatisierte Einzelfallentscheidungen und die automatisierte Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person von besonderer Datenschutzrelevanz.59 Artikel 7 lässt eine solche automatisierte Weitergabe grundsätzlich zu, knüpft sie jedoch an die Voraussetzung, dass diese durch ein Gesetz vorgesehen sein muss, welches Garantien zur Wahrung der schutzwürdigen Interessen der betroffenen Person festlegt.60 Weiterhin wird durch Art. 6 die Verarbeitung besonderer Kategorien personenbezogener Daten als grundsätzlich zulässig erklärt, sobald den Voraussetzungen des Notwendigkeitskriteriums entsprochen wird und kumulativ ein angemessener Schutz durch das innerstaatliche Recht gewährleistet ist. Der Aufbau dieser Normen lässt deutlich hervortreten, dass von einer grundsätzlichen 54 Hard data sind Daten, die mit Hilfe von genau definierten, möglichst quantifizierenden Messmethoden gewonnen werden und sich so durch ein hohes Maß an Intersubjektivität auszeichnen. 55 Die Begrifflichkeit der weichen Daten leitet sich aus dem englischen „soft data“ ab und bezeichnet im Gegensatz zu „hard data“ ungesicherte Erkenntnisse, wie z. B. Hinweise von Drittpersonen, nicht überprüfte Statistiken, Vermutungen, Meinungen und Erwartungen, welche oftmals aus ungesicherten Quellen stammen. 56 Dritte Stellungnahme des EDSB zu dem Vorschlag für einen Rahmenbeschluss des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, ABlEU Nr. C 139/7 v. 23.06.2007, Nr. 32. 57 Braum, KritV 2008, S. 86. 58 Dritte Stellungnahme des EDSB zu dem Vorschlag für einen Rahmenbeschluss des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, ABlEU Nr. C 139/7 v. 23.06.2007, Nr. 32; KOM (2010) 609 endg., S. 15. 59 So auch de Hert/Riehle, ERA Forum 2010, S. 163. 60 Hert spricht insofern von einem „yes, but-approach“, vgl. de Hert/Riehle, ERA Forum 2010, S. 163.
B. Regelungsgehalt des Prümer Modells
125
Zulässigkeit der Maßnahmen ausgegangen wird, diese jedoch an bestimmte einengende Kriterien geknüpft ist. Dieser Ansatz ist insofern neu, als dass er sich nicht in die Systematik des europäische Datenschutzes einzufügen vermag. Innerhalb des europäischen Datenschutzrechtes ist grundsätzlich jedwede Erhebung, Speicherung oder Verarbeitung personenbezogener Daten verboten (Regel), es sei denn es liegen die gesetzlich vorgesehenen Sonderkonstellationen vor (Ausnahme).61 Insofern fußt der europäische Datenschutz auf der Rechtsregel des präventiven Verbots mit Erlaubnisvorbehalt. Der RB 2008/977/JI kehrt diese Systematik um, indem er die Datenverwendung zur erlaubten Regel erhebt. (3) Fehlende Koordination nationaler Kontrollstellen Der Rahmenbeschluss regelt innerhalb seines Art. 25 die Einsetzung nationaler Kontrollstellen, welche die Umsetzung und die Einhaltung der Vorschriften des Rahmenbeschlusses überwachen sollen. Zur Erfüllung ihrer Aufgaben werden den nationalen Kontrollstellen durch Art. 25 Abs. 2 lit. a diverse Untersuchungs- und Einwirkungsbefugnisse (Art. 25 Abs. 2 lit. b) sowie ein Klagerecht (Art. 25 Abs. 2 lit. c) übertragen. Die Unabhängigkeit dieser Kontrollstellen ist hierbei notwendige Bedingung eines wirksamen Betroffenenschutzes.62 Im Rahmen der Tätigkeiten der mitgliedstaatlichen Kontrollstellen treten oftmals gleichgelagerte datenschutzrechtliche Problematiken und Fragestellungen auf, welche nur durch die Entwicklung einer gemeinsamen Strategie auf EU-Ebene gelöst werden können. Innerhalb der Datenschutz-RL wurde insofern das beratende Gremium der sog. Art. 29-Datenschutzgruppe begründet, welche Anfragen der Mitgliedstaaten koordiniert und allgemeine Vorgehensempfehlungen ausspricht. Ungeachtet dessen, dass auch innerhalb der PJZS erheblicher Harmonisierungsbedarf besteht, verzichtet RB 2008/977/JI auf die Errichtung eines vergleichbaren Gremiums. Dies ist unverständlich: So gehen durch den Verzicht auf ein Beratungsgremium wesentliche Harmonisierungsimpulse für den Datenschutz verloren und zum anderen wurden die durch das Europäische Parlament ausgesprochenen Änderungsanträge ignoriert.63 Die Folgen einer Nichteinbindung der Art. 29-Datenschutzgruppe können jedoch etwas abgemildert werden, indem es RB 2008/977/JI zulässt, dass die nach der Richtlinie 95/46/EG in den Mitgliedstaaten bereits errichteten Kontrollstellen auch die Aufgaben der zu errichtenden nationalen Kontrollstellen übernehmen können (Vorbem. 34). Somit kann – wenn auch nur zu einem geringeren Maße – durch den Rückgriff auf bereits existierende Kooperationsnetze ein gewisses Maß an Harmonisierung und Zusammenarbeit erreicht werden.64 (4) Schleppende Umsetzung in nationales Recht Hinzu tritt, dass – wie bei sämtlichen Rechtsakten zur Umsetzung des Verfügbarkeitsgrundsatzes – die Mitgliedstaaten sehr zögerlich die Vorgaben des RB 2008/977/JI umset61 Vgl. nur Art. 15 der Datenschutz-RL bezgl. automatisierter Einzelentscheidungen sowie Art. 8 der Datenschutz-RL zur Verarbeitung besonderer Kategorien pesonenbezogener Daten. Weiterhin geht auch Konvention Nr. 108 des Europarates in Art. 6 bzgl. besonderer Arten von Daten von einem grundsätzlichen präventiven Verbot mit Erlaubnisvorbehalt aus. 62 So auch Vorbem. 33 des RB 2008/977/JI. 63 Siehe nur Bericht über den Vorschlag für einen Rahmenbeschluss des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, A6-0192/2006 endg. v. 18.05.2006. 64 de Hert/Riehle, ERA Forum 2010, S. 163 f.
126
§ 3 Das Prümer Modell der Verfügbarkeit
zen. Obgleich dessen Umsetzungsfrist bereits seit dem 27. November 2010 abgelaufen ist, haben von den 28 Mitgliedstaaten bisher lediglich 14 Mitgliedstaaten65 die Vorgaben des Rahmenbeschlusses in innerstaatliches Recht umgesetzt.66 (5) Fehlende allgemeine Datenschutzkonzeption Die vorangegangene Darstellung lässt eines deutlich hervortreten: Der Rahmenbeschluss stellt in seiner aktuellen Ausformung derzeit nur ein grobes Stückwerk67 dar und ist nicht mehr als ein „erster Schritt in die richtige Richtung“68 . Vielmehr wird den staatlichen Sicherheitsinteressen durch den Rahmenbeschluss der Vorrang gegenüber dem Recht auf Datenschutz eingeräumt, sodass es zu einer Erosion des Rechts auf den Schutz personenbezogener Daten kommt.69 Erschwerend kommt hinzu, dass der Rahmenbeschluss seinem Anspruch, eine allgemeingültige Datenschutzregelung innerhalb der PJZS zu sein, nicht gerecht wird, da er in vielen Bereichen deutlich hinter den Regelungen der RL 95/46/EG zurückbleibt. Dieser Befund wird weiterhin durch den Umstand bekräftigt, dass parallel zu RB 2008/977/JI verschiedene auf der Grundlage von Titel VI des EUV a. F. erlassene Rechtsakte mit jeweilig spezifischen Datenschutzkonzeptionen existieren. Die Vorschriften bzgl. Europol,70 Eurojust,71 dem SIS72 und eben gerade die spezifischen Regelungen des Prümer Beschlusses73 sind nur einige wenige Beispiele, durch welche sektor-spezifische Regelungswerke mit abweichenden Rechten für den Betroffenen und abweichenden Verpflichtungen der Mitgliedstaaten sowie abweichende Datenschutzbehörden geschaffen werden.74 Teils enthalten sie speziellere Datenschutzvorschriften oder verweisen aber auf die Datenschutzübereinkommen des Eu-
65 Es handelt sich um Belgien, die Tschechische Republik, Dänemark,Deutschland, Estland, Irland, Ungarn, Lettland, Litauen, Luxemburg, Österreich, die Slowakei, Schweden und das Vereinigte Königreich. 66 Bericht der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschaftsund Sozialausschuss und den Ausschuss der Regionen auf der Grundlage von Artikel 29 Absatz 2 des Rahmenbeschlusses des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, KOM (2012) 12 vom 25.01.2012. 67 Reding, eucrim 2010, S. 26 spricht insofern von dem Rahmenbeschluss als „patchwork“. 68 Schaar, Rede zu „Aktuellen Entwicklungen im europäischen und internationalen Datenschutz unter besonderer Berücksichtigung des transatlantischen Dialogs“ am 30. Januar 2009 anlässlich des Europäischen Datenschutztages in Wien, S. 5. 69 So auch Braum, KritV 2008, S. 87. 70 Beschluss 2009/371/JI des Rates vom 6. April 2009 zur Errichtung des Europäischen Polizeiamts (Europol), ABlEU Nr. L 121/37 v. 15.05.2009. 71 Beschluss 2009/426/JI des Rates vom 16. Dezember 2008 zur Stärkung von Eurojust und zur Änderung des Beschlusses 2002/187/JI über die Errichtung von Eurojust zur Verstärkung der Bekämpfung der schweren Kriminalität, ABlEU 2009 Nr. L 138/14 v. 04.06.2009. 72 Übereinkommen zur Durchführung des Übereinkommens von Schengen vom 14. Juni 1985 zwischen den Regierungen der Staaten der Benelux-Wirtschaftsunion, der Bundesrepublik Deutschland und der Französischen Republik betreffend den schrittweisen Abbau der Kontrollen an den gemeinsamen Grenzen, ABlEG 2008 Nr. L 329/19 v. 22.09.2000. 73 Beschluss 2008/615/JI des Rates vom 23. Juni 2008 zur Vertiefung der grenzüberschreitenden Zusammenarbeit, insb. zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität, ABlEU 2008 Nr. L 210/1 v. 06.08.2008. 74 Reding, eucrim 2010, S. 26.
B. Regelungsgehalt des Prümer Modells
127
roparates.75 Diese Rechtsakte bilden somit ein vollständiges, in sich geschlossenes Regelwerk, welches alle relevanten Datenschutzaspekte erfasst. Durch sie wird der Datenaustausch zwischen Strafverfolgungsbehörden ausführlicher oder aber auf einer anderen rechtlichen Grundlage geregelt als durch den Rahmenbeschluss 2008/977/JI. Entsprechend Erwägungsgrund 39 des RB 2008/977/JI76 bleiben die aufgezählten Rechtsakte als leges speciales von dem Inkrafttreten des Rahmenbeschlusses unberührt. Der Rahmenbeschluss 2008/977/JI wird somit verdrängt und kann allenfalls als lex generalis zur Anwendung gelangen, wenn spezialgesetzliche Datenschutzrechtsakte nicht anwendbar sind. cc) Datenschutzreformpaket der Kommission Auf Basis der einheitlich geltenden Gesetzgebungskompetenz des Art. 16 AEUV und angesicht des noch immer ungenügenden Datenschutzniveaus auf europäischer Ebene hat die Kommission am 25.1.2012 einen ersten Entwurf eines Reformpaketes zum Datenschutz vorgelegt. Kerngehalt des Reformentwurfes ist die Verwendung zweier separater Legislativvorschläge zur Schaffung eines höheren Datenschutzniveaus: Während im Bereich der PJZS der Rahmenbeschluss 2008/977/JI durch eine neue Richtlinie77 ersetzt werden soll, soll der Datenschutz in allen anderen Bereichen künftig durch eine DatenschutzGrundverordnung78 geregelt werden, welche die Richtlinie 95/456/EG ersetzen und die Richtlinie 2002/58/EG ändern soll. Das Reformpaket stellt die Konkretisierung der Pläne dar, welche die Kommission in ihrer am 4. November 2010 veröffentlichten Mitteilung „Gesamtkonzept für den Datenschutz in der Europäischen Union“79 vorgestellt hatte. Im jetzigen Stadium ist es ist noch zu früh, eine tiefgehende Bewertung der Reformentwürfe vorzunehmen, da bislang noch ungewiss ist, wann und in welcher Form die gegenständlichen Reformentwürfe in Kraft treten werden. Bereits jetzt sei jedoch bemerkt, dass es das von der Kommission vorgeschlagene Datenschutzreformpaket nicht vermag, ein einheitlich geltendes Datenschutzniveau zu schaffen. So greift der Reformentwurf in seiner gesetzgeberischen Konzeption zu kurz. Positiv ist an der vorgeschlagenen Richtlinie zu bewerten, dass sie einen der Hauptkritikpunkte des bisher geltenden Rahmenbeschlusses 2008/977/JI beseitigt, indem nunmehr auch inländische Datenverarbeitungsvorgänge der Harmonierung durch den EURechtsakt zugänglich sein sollen. Eine solche Erweiterung des Anwendungsbereichs hätte jedoch nur dann einen Mehrwert, wenn die Richtlinie das Datenschutzniveau im Bereich
75 Für einen Überblick siehe nur Mitteilung der Kommission, Überblick über das Informationsmanagement im Bereich Freiheit, Sicherheit und Recht, KOM (2010) 385. 76 Vgl. hierzu 39. Erwägungsgrund des Rahmenbeschlusses 2008/977/JI, ABlEU Nr. L 350/63 v. 30.12.2008. 77 Vorschlag für eine Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, KOM (2012) 10 endg. 78 Vorschlag für eine Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, KOM (2012) 9 endg. 79 KOM (2010) 609 endg.
128
§ 3 Das Prümer Modell der Verfügbarkeit
der PJZS spürbar anhöbe. Nach Einschätzung des Europäischen Datenschutzbeauftragten80 kann das Reformpaket diese Zielsetzung aufgrund vielfacher Gründe nicht erfüllen. Es ist bedauernswert, dass sich die Kommission gegen eine Reform des Datenschutzes in Form eines einheitlichen Rechtsaktes entschieden hat. Der Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen soll gesondert innerhalb einer Richtlinie geregelt werden. So wird bereits durch die Wahl des Handlungsinstrumentes der Richtlinie die Möglichkeit verspielt, ein innerhalb des Unionsgebietes einheitlich geltendes Datenschutzniveau zu schaffen. Während die Inhalte der geplanten Datenschutzverordnung unmittelbare Geltung erlangen werden, erfordern die Zielvorstellungen der Richtlinie zunächst gesonderte Umsetzungsakte in nationales Recht und überlassen dem jeweils umsetzenden Mitgliedstaat einen Freiraum in Bezug auf die Form und die Wahl des Mittels. Das Gesetzgebungsverfahren wird insofern kompliziert und birgt für sich genommen bereits das Risiko, dass die Vorschriften der Richtlinie auch weiter anders geändert werden als jene der Verordnung.81 Die vorgeschlagene Richtlinie für den Bereich der PJZS ist als eigenständiger Rechtsakt konzipiert, welcher seine eigenen, im Vergleich zur Verordnung häufig anders formulierten Begriffsbestimmungen, Grundsätze, Rechte und Pflichten für den Bereich der Strafverfolgung enthält. Der direkte Vergleich zu der parallel vorgeschlagenen Verordnung zeigt, dass das Schutzniveau der Richtlinie von demjenigen der Verordnung in zahlreichen Bereichen nicht nur deutlich abweicht, sondern selbiges sogar abschwächt.82 Bedenkt man, dass gerade die im Rahmen der PJZS ausgetauschten Daten besonders sensibel sind und insofern mindestens ein mit der Verordnung gleichwertiges Schutzniveau erfordern, so lässt sich die Unterschreitung des Schutzniveaus des Verordnungsentwurfes nicht mehr rechtfertigen.83 Obwohl eine generelle Anhebung des Datenschutzniveaus durch das Reformpaket nicht geleugnet werden kann, bleibt das Ergebnis einer ersten Einschätzung ein ernüchterndes: Selbst wenn der Reformentwurf in Kraft treten sollte, ermangelt es weiterhin an einer umfassenden Datenschutzkonzeption innerhalb des Bereiches der PJZS. Dies ist Ausfluss des Art. 59 RLE, welcher ausdrücklich regelt, dass bereits existente spezifische Datenschutzrechtsakte im Bereich der PJZS von der vorgeschlagenen Richtlinie unberührt bleiben. Folglich werden die in der Verordnung (EG) Nr. 45/2001 niedergelegten Datenschutzvorschriften für Organe, Einrichtungen und Agenturen der EU sowie andere spezifische Rechtsakte, wie die Vorschriften betreffend Europol und Eurojust, oder auch die Datenschutzvorschriften nach dem Prümer Beschluss explizit von dem Reformentwurf ausgeklammert.84 Bereits zum jetzigen Zeitpunkt ist vorgesehen, all jene besonderen Datenschutzkonzeptionen drei Jahre nach Inkrafttreten der Datenschutzrichtlinie zu überprüfen 80 Stellungnahme des EDSB zu dem Paket von Vorschlägen für eine Datenschutzreform vom 7.3.2012. Abrufbar unter http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/ Documents/Consultation/Opinions/2012/12-03-07_EDPS_Reform_package_DE.pdf [2.2.2013]. 81 Hustinx, Stellungnahme des EDSB zu dem Paket von Vorschlägen für eine Datenschutzreform vom 7.3.2012, Nr. 36, S. 7. 82 Detailliert zu den Unterschieden zwischen der Richtlinie und der Verordnung vgl. Hustinx, Stellungnahme des EDSB zu dem Paket von Vorschlägen für eine Datenschutzreform vom 7.3.2012, S. 59 ff. 83 So auch Hustinx, Stellungnahme des EDSB zu dem Paket von Vorschlägen für eine Datenschutzreform vom 7.3.2012, Nr. 19, S. 4; Nr. 305, S. 59. 84 Kritisch auch Hustinx, Stellungnahme des EDSB zu dem Paket von Vorschlägen für eine Datenschutzreform vom 7.3.2012, Nr. 26, S. 5; Nr. 312, S. 60.
B. Regelungsgehalt des Prümer Modells
129
und falls erforderlich im Rahmen eines zweiten Reformschrittes der Richtlinie anzupassen (Art. 61 Abs. 2 RLE). Konkrete Zeitpläne und Präzisierungen dieses zweiten Reformschrittes existieren derzeit noch nicht. Vielmehr vertiefen die Kommissionspläne die Divergenz der Datenschutzniveaus. Das Ziel eines kohärenten Datenschutzkonzeptes scheint somit vorerst Vision zu bleiben. dd) Datenschutz auf völkerrechtlicher Ebene: Konvention Nr. 108 Als Quelle eines allgemeingültigen Datenschutzregimes im Rahmen der PJZS verbleibt somit nur noch das völkerrechtliche Übereinkommen des Europarates Nr. 10885 , welches im Jahre 1981 erlassen wurde. Durch das Übereinkommen wurde zwischen den Vertragsparteien ein verbindlicher Datenschutzmindeststandard geschaffen, welcher in seinen zentralen Vorschriften datenschutzrechtliche Grundprinzipien regelt. So erfasst Konvention Nr. 108 den Grundsatz von Treu und Glauben, den Grundsatz der Datenqualität und den Grundsatz der Verhältnismäßigkeit. Letzterer wird durch eine Reihe von Regelungen ausgeformt: So dürfen zunächst im Sinne einer Zweckbindung nur solche Daten erhoben und gesammelt werden, welche für die Zweckerfüllung absolut erforderlich und notwendig sind (Art. 5). Weiterhin wird die innerhalb des RB 2008/977/JI fehlende Unterscheidung nach Datenkategorien vorgenommen (Art. 6), sodass ein ausdifferenziertes System an Betroffenenrechten (Art. 8) geschaffen wird. Unabhängig von diesen datenschutzrelevanten Aspekten enthält Konvention Nr. 108 weiterhin Vorgaben für den grenzüberschreitenden Datenverkehr und die Kooperation der Vertragsparteien. Konvention Nr. 108 wurde durch das Zusatzprotokoll vom 8. November 2001 und die Empfehlung Nr. R (87) 15 des Ministerkomitees des Europarats an die Mitgliedstaaten über die Nutzung personenbezogener Daten im Polizeibereich vom 17. September 198786 ergänzt. Obgleich das Übereinkommen Nr. 108 durch die Ratifikation aller EU-Mitgliedstaaten bindend ist, wird durch selbiges kein ausreichendes Datenschutzkonzept gewährleistet. Zum einen stammt die Konvention aus dem Jahre 1981, in welchem das Internet und ähnliche Erscheinungen noch in nicht erahnter Zukunft lagen. Neuen Gefährdungslagen des grenzüberschreitenden Informationsaustausches kann die Konvention insofern nur begrenzt gerecht werden. Zum anderen sind die in der Konvention enthaltenen Regelungen nicht hinreichend konkretisiert. Sie sehen keine spezifischen Regelungen für die Löschung oder Überprüfung der Daten vor.87 Auch die durch Kapitel V der Konvention geregelte Möglichkeit, einen beratenden Ausschuss einzurichten, schafft mangels
85 Konvention Nr. 108 zum Schutz des Einzelnen im Hinblick auf die automatische Verarbeitung personenbezogener Daten. Im folgenden mit Konvention Nr. 108 abgekürzt. 86 Abrufbar unter http://www.coe.int/dataprotection/. 87 Hoffmann-Holland, Stellungnahme zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Innenausschusses des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 12.
130
§ 3 Das Prümer Modell der Verfügbarkeit
weitergehender Kontrollbefugnisse letzterer kein hinreichendes Schutzniveau.88 Dem entgegengesetzt enthält die Empfehlung Nr. R (87) 15 des Ministerkomitees spezielle Datenschutzregelungen und vermeidet sämtliche im Rahmen von RB 2008/977/JI auftretenden Kritikpunkte. So erstreckt sich der Anwendungsbereich aller Instrumente des Europarates sowohl auf zwischen- wie auch innerstaatliche Verarbeitungsvorgänge. Weiterhin unterscheidet Empfehlung Nr. R (87) 15 zwischen unterschiedlichen Gruppen von Betroffenen und sieht besondere Garantien für die Verarbeitung von Daten Nichtverdächtiger vor.89 Auch in Bezug auf den Grundsatz der Datenrichtigkeit geht der Schutz der Empfehlung deutlich über jenen des RB 2008/977/JI hinaus: Daten, welche auf (harten) Fakten beruhen, müssen entsprechend Grundsatz 3.2 der Empfehlung anders behandelt werden als Daten, welche auf Meinungen und persönlichen Einschätzungen beruhen. Im Bereich der PJZS haben sämtliche Mitgliedstaaten erklärt, die Empfehlung Nr. R (87) 15 zu beachten, sodass die Grundsätze der Konvention Nr. 108 auf polizeiliche Angelegenheiten übertragen werden.90 Leider kommt der Empfehlung Nr. R (87) 15 – ihrer völkerrechtlichen Rechtsnatur entsprechend – kein rechtsverbindlicher Charakter zu. Ebenso ist auch das Zusatzprotokoll der Konvention unverbindlich geblieben, da es bis zum heutigen Zeitpunkt nicht von allen Mitgliedstaaten ratifiziert bzw. unterzeichnet worden ist. ee) Zwischenergebnis Der Befund der vorangegangenen Darstellung ist ein deutlicher: Derzeit ermangelt es auf europäischer Ebene an einem allgemeingültigen Datenschutzkonzept. Ex-Art. 30 Abs. 1 lit. b EUV erfordert in diesen Zusammenhang jedoch gerade, dass bei gemeinsamen Maßnahmen im Bereich der polizeilichen Zusammenarbeit, welche die Verarbeitungen von Informationen durch Strafverfolgungsbehörden mit sich bringen, „die entsprechenden Vorschriften über den Schutz personenbezogener Maßnahmen zu beachten sind“.91 Aufgrund der Unzulänglichkeiten des RB 2008/977/JI gibt es bis dato jedoch kein allumfassendes Rechtsinstrument mit zufriedenstellendem Inhalt. Die datenschützenden Bestimmungen der PJZS sind teilweise innerhalb spezieller Rechtsakte92 sektorspezifisch konzipiert, auf mehrere Rechtsakte verteilt und verdrängen die Anwendung der lex generalis des RB 2008/977/JI. Im Ergebnis wird somit die Konvention Nr. 108 auf eine Vielzahl von Fällen angewandt. Es ist unbestritten, dass sich die Welt aus datenschutzrechtlicher Sicht seit dem Jahre 1981 nicht mehr mit der heutigen Realität vergleichen lässt. Das zur Anwendung kommende Datenschutzniveau entstammt aus einer Zeit, in welcher das 88 Hoffmann-Holland, Stellungnahme zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Innenausschusses des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 12. 89 Vgl. nur Grundsatz 2 der Empfehlung Nr. (87) 15 und den Bewertungsberichten hierzu. 90 Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Gesamtkonzept für den Datenschutz in der Europäischen Union v. 04.11.2010, KOM (2010) 609 endg., S. 16. 91 Dritte Stellungnahme des EDSB zu dem Vorschlag für einen Rahmenbeschluss des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, ABlEU Nr. C 139/3 v. 23.06.2007, Nr. 9. 92 Als Beispiel seien nur die Rechtsinstrumente bzgl. Europol, Eurojust, ZIS, VIS und allen voran der Prümer Beschluss genannt.
B. Regelungsgehalt des Prümer Modells
131
Internet, Mobiltelefone und Computer noch nicht alltägliche Begleiter unseres Lebens waren. Zum Zeitpunkt ihres Erlasses vermochte Konvention Nr. 108 durchaus einen grundlegenden Schutz zu garantieren. Jedoch haben sich innerhalb der letzten dreißig Jahre enorme technische Entwicklungen ereignet, sodass das Schutzniveau spätestens dann zu kurz greift, sobald die in die Tage gekommenen Schutzvorschriften sich gegenüber neuen Herausforderungen und Entwicklungen behaupten müssen. Durch die besondere Ausgestaltung der Datenschutzregelungen innerhalb des Prümer Modells unternehmen die Mitgliedstaaten nun erstmals den Versuch, dieses Ungleichgewicht – zwar ohne allgemeingültiges Datenschutzkonzept, jedoch aber auf spezialgesetzlicher Ebene – auszutarieren und dem Schutz von Individualinteressen gegenüber staatlicher Sicherheitsinteressen den Vorrang einzuräumen. Dies geschieht zum einen durch das im Prümer Modell vorgesehene hit/no-hit-Verfahren, welches bei jedem Online-Zugriff auf DNA-Profile und daktyloskopische Daten zur Anwendung gelangt, und zum anderen durch Maßnahmen, welche nachträgliche Kontrollmöglichkeiten schaffen. 2. Formen des Online-Zugriffs im Prümer Modell Im Gegensatz zu dem Entwurf eines Rahmenbeschlusses zur Umsetzung des Grundsatzes der Verfügbarkeit, welcher einen gegenseitigen, direkten Online-Zugriff auf fremdmitgliedstaatliche Datenbanken der Strafverfolgungsbehörden gewähren sollte, wurde im Rahmen des Prümer Modells eine abgemilderte Variante der Umsetzung gewählt. Kerngedanke des Grundsatzes der Verfügbarkeit von Informationen ist es, fremdmitgliedstaatlichen Behörden den Zugang zu vorhanden nationalen Strafverfolgungsdaten unter den gleichen Bedingungen zu ermöglichen, welche auch für die eigenen innerstaatlichen Strafverfolgungsbehörden gelten. Während den mitgliedstaatlichen Behörden durch den Rahmenbeschlussentwurf ein direkter Online-Lesezugriff gewährt werden sollte, ist das Verfahren für den Zugang zu vorhandenen Daten im Wege des Online-Zugriffs abhängig von der jeweils betroffenen Datenkategorie differenziert ausgestaltet. Bevor die jeweiligen Ausgestaltungsformen des Online-Zugangs erläutert werden, bedarf es allerdings eines Blickes auf die im Prümer Modell verwendete technische Kommunikationsstruktur. Das Prümer Modell ist ein typischer Vertreter einer dezentralen Informationsstruktur, deren Hauptmerkmal es ist, auf die Errichtung einer zentralen europaweit verfügbaren Datenbank zu verzichten. Vielmehr werden bestehende mitgliedstaatliche Datenbanken miteinander durch gegen- und wechselseitige Zugriffsrechte verknüpft. Hierbei fertigen die Mitgliedstaaten zunächst eine Kopie ihrer Datenbanken an. Diese Kopie der nationalen Datenbanken enthält jedoch bei den besonders sensiblen DNA- und daktyloskopischen Daten nicht die vollständigen Datensätze, sondern ist im Falle der DNADaten auf bloße DNA-Profile93 und bei daktyloskopischen Daten auf bloße daktyloskopische Profile beschränkt. Wie bereits erläutert, sind diese Profildaten anonymisiert; eine unmittelbare Identifizierung des Betroffenen ist anhand der bloßen Profildaten nicht möglich. Im Rahmen des Online-Zugangs kommunizieren die nationalen Kontaktpunkte94 über ein gemeinsames, logisch abgeschlossenes Telekommunikationsnetz, das sog. 93 94
Zur Begrifflichkeit des DNA-Profils s.o. Nationaler Kontaktpunkt in Deutschland ist das BKA in Wiesbaden.
132
§ 3 Das Prümer Modell der Verfügbarkeit
s-TESTA II-Netzwerk95 . Dieses vernetzt die eingerichteten dezentralisierten Domains der Mitgliedstaaten miteinander. S-TESTA II selbst fungiert insofern als zentrale Kommunikationsstruktur zwischen den Mitgliedstaaten und basiert auf einem „any-to-any“Kommunikationsmodell, was bedeutet, dass jeder Mitgliedstaat mit jedem anderem Mitgliedstaat mittels s-TESTA II kommunizieren kann. Die Übermittlung der Anfragen sowie der eintreffenden Antworten ist als asynchroner Mechanismus ausgestaltet. Die jeweiligen Anfragen und deren Bearbeitung werden mittels eines automatisierten Austausches vorgenommen, sodass zwischen den Mitgliedstaaten selbst kein direkter Kontakt besteht. Jeder Mitgliedstaat stellt seine nationalen Daten für den Austausch und den Abruf durch andere Mitgliedstaaten im allgemeinen Standarddatenformat zur Verfügung. Bewusst wurde hierbei auf die Einbindung eines Zentralservers und einer einzigen zentralisierten europäischen Datenbank zur Speicherung der Datenprofile verzichtet.
Abbildung 3: Wirkweise von s-TESTA II am Beispiel von DNA-Profilen
Sobald z. B. eine Anfrage auf den Abgleich eines DNA-Profils gestellt wird, werden diese Daten in Form einer verschlüsselten Email durch ein zwischengeschaltenes matching tool in die Kommunikationsstruktur eingespeist und ein automatisierter Abgleich mit den Datenbanken der anderen Mitgliedstaaten vorgenommen. Innerhalb des s-TESTA II-Netzwerks treffen die nationalen Profile aufeinander. Die wesentlichen Vorteile der Verwendung der s-TESTA II-Struktur ergeben sich vorallem aus dem datenschutzbegünstigenden und kosteneffizienten Einsatz des Netzwerkes. Im Gegensatz zu einer sog. peer to peer-Sicherheitsstruktur, in welcher jeder Mitgliedstaat anderen Mitgliedstaaten wechselseitig einen Zugriff auf die eigenen Datenbestände gewährt, wird durch die Verwendung einer dezentralen Sicherheitsstruktur unter anderem
95
Secure Trans European Services for Telematics between Administrations.
B. Regelungsgehalt des Prümer Modells
133
verhindert, dass personenbezogene Daten noch ein weiteres Mal in einer zentralen Datenbank gespeichert werden.96 Durch den Rückgriff auf ein zentralisiertes Netzwerk wird zudem eine Kommunikationsstruktur geschaffen, welche nicht nur für den Bereich des Prümer Modells Anwendung findet. Neben dem Datenabgleich auf der Grundlage von Prüm wird über s-TESTA II auch die Kommunikation für die Abfragen der Asylbewerber-Fingerabdruckdatenbank (EURODAC), des Europol-Informationssystems, des VIS und des SIS II abgewickelt. Zahlreiche Zwecke des Datenaustausches können somit durch s-TESTA II erfüllt werden, sodass s-TESTA II als „Netzwerk von Netzwerken“97 beschrieben werden kann, durch welches auf die meist kostenintensive Errichtung einzelner Kommunikationsstrukturen verzichtet werden kann. Diesen Vorteilen stehen zugleich jedoch auch Nachteile entgegen. So ermöglicht die Verwendung von s-TESTA II gerade nicht, das von der Kommission geforderte Ziel der Interoperabilität von Datenbanken zu fördern. Das Fortbestehen der einzelnen nationalen Datenbanken vermag es nicht eine Interoperabilität zwischen den Datenformaten, den Inhalten der Datenbanken und den verwendeten Kodierungen zu erzielen, sodass hieraus eine mögliche Fehlerquelle bei dem Austausch, der Verwendung und der Interpretation der jeweiligen Daten erwächst.98 Darüber hinaus birgt die Verwendung einer zentralen Kommunikationsstruktur für mehrere Netzwerke auch die Gefahr, dass sich eine bestehende Sicherheitslücke automatisch auf alle in der Kommunikationsstruktur befindlichen anderen Netzwerke auswirkt.99 Diese Nachteile werden jedoch durch den Prümer Beschluss und dessen begleitenden Durchführungsbeschluss100 , durch welchen die technische und verwaltungsmäßige Umsetzung des Prümer Modells detailliert erläutert wird, abgesichert, indem datenschutzrechtliche Bedürfnisse auf mehreren Ebenen Berücksichtigung finden. Auf der Datenebene wird zunächst durch den Online-Zugriff in Ausformung des hit/nohit-Verfahrens ein gesondertes Schutzsystem besonders sensibler Daten, wie DNA- und daktyloskopische Daten, geschaffen. Auf der Kommunikationsebene, d. h. bei dem Versand und dem Empfang der Emails, die z. B. DNA-Profilinformationen enthalten, ist zu beachten, dass sämtliche Anfragen- und Antwort-Emails vor ihrer Übermittlung gesondert verschlüsselt werden.101 Schließlich sind datentechnische Besonderheiten der Kommunikationsebenen zu beachten: Verschlüsselte Nachrichten werden den Standorten der anderen Mitgliedstaaten über ein VPN-Tunnelsystem102 zugeleitet, welches selbst keinen Verbindungspunkt mit dem offenen Internet besitzt. Datenzugriffe von unbeteiligten Dritten können somit vermieden werden. 96 EDSB, Stellungnahme des Europäischen Datenschutzbeauftragten zu dem Vorschlag für einen Beschluss des Rates zur Einrichtung des Europäischen Strafregisterinformationssystems (ECRIS), ABlEU Nr. C 42/3 v. 20.2.2009. 97 Hempel/Carius/Ilten, Exchange of information and data between law enforcement agencies within the European Union. Discussion paper Nr. 29/09, S. 21. 98 So auch Hempel/Carius/Ilten, Exchange of information and data between law enforcement agencies within the European Union. Discussion paper Nr. 29/09, S. 21. 99 So auch Hempel/Carius/Ilten, Exchange of information and data between law enforcement agencies within the European Union. Discussion paper Nr. 29/09, S. 21. 100 Beschluss 2008/616/JI des Rates vom 23. Juni 2008 zur Durchführung des Beschlusses 2008/615/JI, ABlEU Nr. L 210, S. 12 v. 06.08.2008. 101 Die Verschlüsselung geschieht durch die Verwendung des s/MIME-Standards. 102 Virtuelles privates Netzwerk.
134
§ 3 Das Prümer Modell der Verfügbarkeit
Innerhalb des Prümer Modells ist das Verfahren für den Zugang zu vorhandenen Daten im Wege des Online-Zugriffs abhängig von der jeweils betroffenen Datenkategorie. Als Grundsatz gilt: Je sensibler die betroffenen Daten sind, desto mehr Schutz muss ihnen im Rahmen des Online-Zugriffs zukommen. Das Prümer Modell unterscheidet daher zwischen der Möglichkeit des Online-Zugriffs mit sofortigen vollständigen Lesezugriff auf die abgefragten Daten bei Abfrage von Fahrzeugregisterdaten und der Möglichkeit des Online-Zugriffs ohne sofortigen Lesezugriff in Form des hit/no-hit- Verfahrens bei DNA-Daten und daktyloskopischen Daten. Während bei ersterer Form die Fahrzeugregisterdaten mittels des automatisierten Abgleichs vollständig verfügbar im Sinne des Verfügbarkeitsgrundsatzes werden, ist der Online-Lesezugriff in Form des hit/no-hit-Verfahrens bei DNA-Profilen und daktyloskopischen Daten zweistufig ausgestaltet. a) Online-Zugriff mittels Hit/No-Hit-Verfahren So wird durch den automatisierten Abgleich der ersuchten Daten mit den mitgliedstaatlichen Datenbanken in einem ersten Schritt („Ob“) zunächst festgestellt, ob die ersuchten Informationen in einem der Mitgliedstaaten vorhanden sind (hit/no-hit). Der anfragende Mitgliedstaat erhält im Rahmen des automatisierten Abgleichs die Information über eine Übereinstimmung (hit) oder Nichtübereinstimmung (no-hit) der eingegebenen Daten mit den vorhandenen Daten der anderen mitgliedstaatlichen Datenbanken. Im Falle einer Übereinstimmung wird dem ersuchenden Staat sodann lediglich mitgeteilt, dass ein Treffer vorliegt (hit), sowie eine Kennung zu dem abgefragten DNAIdentifizierungsmuster bzw. dem daktyloskopischen Datum übermittelt. Diese Kennung dient im Zuge des sich anschließenden Rechtshilfeersuchens quasi als Archivierungsnummer. Eine direkter Zugriff auf die Daten selbst oder aber eine Identifizierung des DNATrägers oder des Trägers der daktyloskopischen Daten ist zum Zeitpunkt des sog. matchings der nationalen Datenbanken nicht möglich. Der vollständige Datenzugriff ist dem ersuchenden Staat auf dieser Stufe verwährt. Die mitgeteilte Kennung ist vollständig anonymisiert, sodass im Zeitpunkt der Beantwortung der Anfrage keine Rückschlüsse auf die betroffene Person möglich sind. Der Mechanismus des Online-Zugangs mittels des hit/no-hit-Verfahrens und die damit verbundene Frage, ob zum Beispiel übereinstimmende DNA-Profile bei den anderen Mitgliedstaaten vorhanden sind, wird durch Abbildung 4 verdeutlicht. Will der informationsanfragende Staat im Falle eines Treffers sodann von dem dateiführenden Staat spezifische dazugehörige Datensätze zu dieser Anfrage erhalten, so erfordert dies einen zweiten Schritt („Wie“). Mittels der erhaltenen Kennung wird es dem abfragenden Staat ermöglicht, im Falle eines Treffers bei dem dateiführenden Staat gezielt um die dazugehörigen personenbezogenen Daten zu ersuchen und – falls notwendig – um weitere Informationen zu bitten. Dieses Verfahren richtet sich nach den bisher geltenen Rechtshilfevorschriften, sodass für diesen zweiten Schritt die Bestimmungen des Prümer Modells keine Anwendung mehr finden. Es ist zu erwarten, dass das herkömmliche Rechtshilfeverfahren durch die Verknüpfung mit dem hit/no-hit-Verfahren erheblich beschleunigt werden kann. Oftmals langwierige und ergebnislose Rechtshilfeersuchen, bei welchen sich herausstellt, dass der ersuchte Staat nicht über die angefragten Informationen verfügt, können auf Basis des Prümer Modells vermieden werden. Die eigentliche Informations-
B. Regelungsgehalt des Prümer Modells
135
Abbildung 4: Anwendungs-Workflow im Standort der einzelnen Mitgliedstaaten
übermittlung richtet sich insofern nach dem herkömmlichen Rechtshilfeverfahren, wobei dann auch die sog. „Schwedische Initiative“ als Beschleunigungsmittel der Rechtshilfe eingreifen kann.103 b) Online-Zugriff mit sofortigem Lesezugriff Während für besonders sensible Daten, wie DNA- und daktyloskopische Daten, ein zweischrittiges Verfahren für den Online-Zugriff anzuwenden ist, ermöglicht das Prümer Modell gleichzeitig auch den einschrittigen Online-Zugriff auf weniger sensible Daten. So wird den Mitgliedstaaten bei Fahrzugregisterdaten ein Lesevollzugriff auf die im Fahrzeugregister enthaltenen Daten eingeräumt, sodass im Einzelfall Informationen durch die Mitgliedstaaten direkt abgefragt werden können.104 3. Ausformung der allgemeinen Datenschutzprinzipien im Prümer Modell Neben den Besonderheiten des Online-Zugriffs in seinen jeweiligen Ausformungen bilden die allgemeinen Bestimmungen zum Datenschutz des sechsten Kapitels des Prümer 103 Mitteilung der Kommission an das Europäische Parlament und den Rat, Überblick über das Informationsmanagement im Bereich Freiheit, Sicherheit und Recht, KOM (2010) 385 endg., S. 13. 104 BT-Drs. 16/1108, S. 33.
136
§ 3 Das Prümer Modell der Verfügbarkeit
Beschlusses die Kernregelungen des Prümer Modells. Hierin sind nicht nur allgemein geltende Datenschutzgrundsätze, sondern auch spezifische Regelungen für die jeweilig betroffenen Datenkategorien enthalten. Diese speziellen Datenschutzregelungen sind insb. wegen des durch das Prümer Modell gewährten Online-Zugriffs auf die Datenbanken („automatisierter Abruf“) notwendig. Unabhängig davon, ob der Online-Zugriff im hit/no-hitVerfahren auf Indexdatenbanken (DNA-Profile und daktyloskopische Daten) bzw. durch einen vollständigen Lesezugriff (Fahrzeugregisterdaten) geschieht, ist beiden Ausgestaltungen gemein, dass das Verfahren des Online-Zugriffs keine vorherige Prüfung durch den dateiführenden Staat erlaubt.105 Umfassende Maßnahmen für eine nachträgliche Kontrollmöglichkeit sind somit unverzichtbar. a) Mindestdatenschutzniveau Artikel 25 des Prümer Beschlusses legt zunächst ein einheitliches Mindestdatenschutzniveau für alle im Rahmen des Prümer Modells ausgetauschten Daten fest, welches auch das SDÜ in seinen Art. 126, 127 und 129 als angemessen anerkennt. Er verlangt als Mindestmaß den durch das Übereinkommen des Europarats vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten festgelegten Datenschutzstandard106 und aktualisiert diesen durch die Bezugnahme auf das Zusatzprotokoll107 aus dem Jahre 2001 zum Übereinkommen des Europarats 1981. Darüber hinaus sollen die Mitgliedstaaten zudem die nicht verbindliche Empfehlung Nr. R (87) 15 über die Nutzung personenbezogener Daten im Polizeibereich108 beachten. Grundsätzlich erfassen diese Rechtsakte nur die automatisierte Verarbeitung von Daten; durch das Prümer Modell verpflichten sich die Mitgliedstaaten jedoch darüber hinausgehend, die in den Rechtsakten enthaltenen Regelungen auch auf den Bereich der nicht automatisierten Datenverarbeitung zu erstrecken (Art. 25 Abs. 1). Weitergehend wird die Einhaltung dieses Datenschutzniveaus durch das in Art. 25 Abs. 2 PB vorgeschriebene Beschlusserfordernis des Rates abgesichert. So darf mit der Übermittlung personenbezogener Daten erst dann begonnen werden, wenn die Bestimmungen des Datenschutzkapitels des Prümer Beschlusses in das innerstaatliches Recht des beteiligten Mitgliedstaates umgesetzt worden sind. Ob diese Voraussetzungen erfüllt sind, wird durch einstimmigen Ratsbeschluss festgestellt. Die Mitgliedstaaten, welche zugleich Vertragsparteien des völkerrechtlichen Prümer Vertrages sind109, sind von dem Beschlusserfordernis des Rates befreit, da vor Beginn des Datenaustausches auf Grundlage des Prümer Vertrages die Umsetzung in innerstaatliches Recht bereits durch das Ministerkomitee festgestellt wurde.110 Ein zusätzlicher Ratsbeschluss wäre insofern ein Zweitbeschluss in gleicher Sache ohne konkreten Regelungsgehalt. 105
Vgl. BT-Drs. 16/1108, S. 42. Hierzu siehe § 3 B. II. 1. b) dd), S. 129. 107 Zusatzprotokoll zum Übereinkommen über den Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten betreffend Kontrollstellen und grenzüberschreitenden Datenverkehr (ETS Nr. 181), Europarat, 8.11.2001 (Zusatzprotokoll 181). 108 Empfehlung Nr. R (87) 15 des Ministerkomitees des Europarats zur Regelung der Benutzung personenbezogener Daten durch die Polizei vom 17.09.1987. 109 Die ursprünglichen Vertragsstaaten sind Belgien, Deutschland, Spanien, Frankreich, Luxemburg, die Niederlande und Österreich. 110 Vgl. nur Art. 34 Abs. 2 S. 2 i. V. m. Art. 43 PV. 106
B. Regelungsgehalt des Prümer Modells
137
b) Zweckbindungsgrundsatz Der Datenschutzgrundsatz, dass personenbezogene Daten grds. ausschließlich zu dem Zwecke verarbeitet werden dürfen, zu welchem sie erhoben wurden, hat innerhalb des Art. 26 Abs. 1 des Prümer Beschlusses eine sekundärrechtliche Ausformung erhalten. Grundannahme des Prümer Beschlusses ist es, dass jeder Austausch von Daten einen Grundrechtseingriff gegenüber dem Betroffenen darstellt. Die Intensität des Grundrechtseingriffs variiert je nach betroffener Datenkategorie. DNA-Daten stellen hierbei die Datenkategorie mit der größten Eingriffsintensivität dar, während ihnen sodann abgestuft daktyloskopische Daten und schließlich Fahrzeugregisterdaten folgen. Es gilt, dass die Verwendungsmöglichkeit der Daten umso mehr beschränkt werden muss, je sensibler die betroffenen Daten sind.111 Der zulässige Übermittlungszweck ergibt sich aus den jeweiligen Einzelbestimmungen des Beschlusses und muss somit für jede erfasste Datenkategorien (DNA, daktyloskopische Daten und Fahrzeugregisterdaten) gesondert festgestellt werden. Der automatisierte Austausch und Abgleich von DNA-Profilen ist nach Art. 3 Abs. 1, S. 1 und Art. 4 Abs. 1 PB grds. nur zum Zwecke der Strafverfolgung, also für repressive Tätigkeiten, zulässig. Dem entgegengesetzt sind die zulässigen Zwecke des automatisierten Abrufs von daktyloskopischen Daten weiter gefasst. So wird der Abgleich nicht nur zum Zwecke der Strafverfolgung, sondern darüber hinausgehend auch noch für den Zweck der Verhinderung von Straftaten erlaubt (Art. 8 Abs. 1 S. 1, 9 Abs. 1 PB). Die durch den Prümer Beschluss erfasste Datenkategorie der Fahrzeugregisterdaten birgt für den Betroffenen die geringste Eingriffsintensität, sodass die Zwecke zu denen sich die Mitgliedstaaten Zugriff auf die nationalen Fahrzeugregister gewähren (Art. 12 Abs. 1 PB), am weitesten gefasst sind. Der Austausch von Fahrzeugregisterdaten ist entsprechend zulässig zum Zwecke der Verhinderung und Verfolgung von Straftaten, aber auch zur Verfolgung solcher Verstöße, welche in die Zuständigkeit der Staatsanwaltschaften oder Gerichte der Mitgliedstaaten fallen (Ordnungswidrigkeiten), sowie schließlich zur Abwehr von Gefahren für die öffentliche Sicherheit. Eine Übermittlung über diese Zwecke hinaus (zweckändernde Verwendung) ist im Rahmen des Prümer Beschlusses möglich, kann aber nur erfolgen, wenn die Zweckänderung sowohl nach dem innerstaatlichen Recht des empfangenden Mitgliedstaates als auch nach dem innerstaatlichen Recht des dateiführenden Mitgliedstaates zulässig ist. Letzterer hat hierbei formell seine Zustimmung zu der zweckändernden Verwendung zu erteilen (Art. 26 Abs. 1 S. 2, 3 PB). Für die Verarbeitung von DNA- und daktyloskopischen Daten enthält Art. 26 Abs. 2 PB eine für den abrufenden oder abgleichenden Staat gleichermaßen geltende Spezialregelung, welche die allgemeine Zweckbindungsregel des Art. 26 Abs. 1 PB verdrängt. Hierin werden die zulässigen Zwecke der Verarbeitung von DNA- und daktyloskopischen Daten abschließend aufgezählt und konkretisiert112 , sodass eine zweckändernde Verwendung von DNA-Profilen und daktyloskopischen Daten – trotz Genehmigung des dateiführen111
BT-Drs. 16/1108, S. 43. Die Verarbeitung besagter Daten ist nur erlaubt zur Feststellung, ob die verglichenen Daten übereinstimmen, im Falle der Übereinstimmung zur Vorbereitung eines Rechts- oder Amtshilfeverfahrens und schließlich noch zur Protokollierung gem. Art. 30 PB. 112
138
§ 3 Das Prümer Modell der Verfügbarkeit
den Staates – ausgeschlossen ist. Weiterhin wird der Verwendungszweck auch für den dateiführenden Mitgliedstaat eingeschränkt, sodass eine Verarbeitung der DNA-Profile und daktyloskopischen Daten nur zur Durchführung des Abgleichs, zur automatisierten Beantwortung der Anfrage oder zur Protokollierung zulässig ist (Art. 26 Abs. 2 S. 2 PB). Für den abrufenden und dateiführenden Mitgliedstaat gilt gleichermaßen, dass nach Beendigung des Datenabgleichs oder nach der automatisierten Beantwortung der Anfrage die übermittelten Daten unverzüglich zu löschen sind, soweit nicht die Weiterverarbeitung zu den in Art. 26 Abs. 2 S. 1 lit. b oder113 lit. c PB genannten Zwecken erforderlich ist (Art. 26 Abs. 2 S. 3 PB). Für den Abruf von Fahrzeugregisterdaten ist die von Art. 26 Abs. 1 PB abweichende Sonderregelung des Art. 26 Abs. 3 PB zu beachten, welche gleichermaßen abrufende und auch empfangende Mitgliedstaaten verpflichtet, übermittelte Daten ausschließlich zur automatisierten Beantwortung der Anfrage oder zur Protokollierung zu verwenden. Wie bereits dargestellt, ist der Online-Zugriff bei Fahrzeugregisterdaten einstufig als vollständiger Lesezugriff ausgestaltet. Infolgedessen entfällt im Rahmen der Zweckbindungsbeschränkung das Erfordernis der Vorbereitung eines Rechts- oder Amtshilfeersuchens. Des Weiteren dürfen die erhaltenen Fahrzeugregisterdaten ausschließlich für das Verfahren verwendet werden, für welches die Anfrage erfolgte. c) Rechtsfolgen fehlerhafter Datenübermittlungen für die Mitgliedstaaten Der grenzüberschreitende Austausch der Daten mittels des Online-Zugriffs ist ein wesentliches Element des Grundsatzes der Verfügbarkeit. Strafverfolgungsrelevante Daten sollen innerhalb des Unionsgebietes möglichst mobil sein, wobei gleichwohl subjektive Rechte durch eine ausgewogene Datenschutzkonzeption zu wahren sind. Die Verpflichtung, Betroffeneninteressen zu wahren, trifft übermittelnde und empfangende Staaten gleichermaßen. Nicht zuletzt können fehlerhafte Daten oder unaktualisierte Daten ein Hindernis für eine erfolgreiche Strafverfolgungstätigkeit sein. Der empfangende Staat wird in einem Großteil der Fälle die Unrichtigkeit oder die mangelnde Aktualität der empfangenden Daten nicht feststellen können, da es sich bei den übermittelten Daten um fremdmitgliedstaatliche handelt. Wie bereits dargestellt, basiert das Prümer Modell auf einem engen Verständnis des Verfügbarkeitsgrundsatzes, indem es an den Grundsatz des gegenseitigen Vertrauens anknüpft. Das gegenseitige Vertrauen der Mitgliedstaaten in das rechtmäßige Handeln des anderen (übermittelnden) Mitgliedstaates wird als Grundbedingung für den grenzüberschreitenden Datenaustausch postuliert. Diese bereits durch Art. 5 lit. d der Datenschutzkonvention des Europarats und in Art. 6 Abs. 1 der EG-DSRL betonte Verpflichtung der Mitgliedstaaten, die Richtigkeit und Aktualität personenbezogener Daten sicherzustellen, greift Art. 28 Abs. 1 PB abermalig auf und legt gesonderte Rechtsfolgen für eine unrechtmäßige Übermittlung von Daten fest. Als Rechtsfolgen werden die Berich113 Der Wortlaut des Beschlusses selbst scheint ein kumulatives Vorliegen der Voraussetzungen des lit. b „und“ lit. c zu verlangen. Im Falle eines Treffers nach Abruf durch den abrufenden Mitgliedstaat können die Verarbeitungsweisen des Art. 26 Abs. 2 S. 1 lit. b, c gleichzeitig vorliegen; führt der Abruf hingegen zu keinem Treffer, wird insofern kein Rechtshilfeersuchen im Sinne von lit. b eingeleitet werden. Auf Seiten des dateiführenden Mitgliedstaates kommt ohnehin nur eine Protokollierung nach lit. c in Betracht. Anhand eines solches systematisch-teleologischen Verständnisses muss es folglich bereits genügen, wenn nur eine Variante der Regelung erfüllt ist. Es ist daher von einem Alternativitätsverhältnis der Verarbeitungsweisen auszugehen. Vgl. BT-Drs. 16/1108, S. 43 f.
B. Regelungsgehalt des Prümer Modells
139
tigung, Löschung, Kennzeichnung und Sperrung der betroffenen Daten vorgesehen. Falls unrichtige Daten oder Daten, welche nicht hätten übermittelt werden dürfen, übermittelt wurden, ist der übermittelnde Mitgliedstaat verpflichtet, diesen Umstand dem empfangenden Mitgliedstaat unverzüglich mitzuteilen (Art. 28 Abs. 1 S. 2 PB), damit dieser in einem weiteren Schritt sodann eine Berichtigung oder – sofern die Daten nicht hätten übermittelt werden dürfen – eine Löschung der Daten vornehmen kann. In den Fällen, bei welchen sich weder die Richtigkeit noch die Unrichtigkeit der Daten feststellen lässt oder aber die Richtigkeit durch den Betroffenen bestritten wird, ist nach Maßgabe des innerstaatlichen Rechts der Mitgliedstaaten eine Kennzeichnung der Daten vorzunehmen (Art. 28 Abs. 2 PB), d. h. dass eine allgemeine Markierung der gespeicherten Daten zu erfolgen hat114 . Im Falle, dass personenbezogene Daten unrechtmäßig übermittelt oder unrechtmäßig empfangen wurden, sind diese Daten zu löschen. Diese Löschungspflicht besteht auch für rechtmäßig übermittelte und rechtmäßig empfangene Daten, jedoch nur unter den Voraussetzungen, dass sie für den Zweck, für den sie übermittelt worden sind, nicht oder nicht mehr erforderlich sind, oder aber wenn die Höchstfristen für die Aufbewahrung der Daten abgelaufen sind.115 Wenn jedoch durch die Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, haben die Mitgliedstaaten anstelle der Löschung eine Sperrung der Daten vorzunehmen.116 Durch diese Sperrung werden die gespeicherten personenbezogenen Daten mit dem Ziel markiert, ihre künftige Verarbeitung einzuschränken.117 Gesperrte Daten dürfen nur noch für den Zweck, für den die Löschung unterblieben ist, übermittelt und genutzt werden.118 d) Protokollierungspflichten Sobald mehrere Mitgliedstaaten miteinander Daten im Wege des automatisierten Online-Zugriffs austauschen, besteht aufgrund der Anzahl der täglich vorgenommenen Austausche ein hohes Bedürfnis nach Mechanismen, anhand derer eine nachträgliche Rechtmäßigkeitskontrolle der Datentransaktionen vorgenommen werden kann. Den nationalen, unabhängigen Datenschutzbehörden muss folglich ein effektives System von Kontrollmechanismen zur Hand gereicht werden. Infolgedessen verpflichtet das Prümer Modell die mitgliedstaatlichen Kontaktstellen im Rahmen des automatisierten Abrufs von Daten zu einer „doppelten Protokollierung“ (Art. 30 Abs. 2 PB): So ist jeder einzelne Datenverarbeitungsvorgang nicht nur stichprobenartig, sondern vollständig sowohl von der abrufenden als auch von der dateiführenden Stelle zu protokollieren.119 Durch das Erfordernis der doppelten Protokollierung wird ein besonderes Maß an Nachverfolgbarkeit geschaffen.120 114 Zur Abgrenzung der Kennzeichnung von der Sperrung siehe Legaldefinitionen in Art. 1 lit. c, d PB. 115 Vgl. Art. 28 Abs. 3 S. 2 lit. a, b PB. 116 Art. 28 Abs. 3 S. 3 PB entspricht insofern § 20 Abs. 3 Nr. 2 BDSG sowie § 32 Abs. 2 Nr. 1 BKAG. 117 Vgl. Legaldefinition in Art. 24 lit. d PB. 118 Diese Bestimmung entspricht § 32 Abs. 2 S. 3 Hs. 1 BKAG. 119 Zum genauen Inhalt der zu protokollierenden Daten siehe Art. 30 Abs. 2 lit. b PB. 120 BT-Drs. 16/1108, S. 45.
140
§ 3 Das Prümer Modell der Verfügbarkeit
Die protokollierten Daten sind den Datenschutzbehörden der betroffenen Mitgliedstaats nach deren Ersuchen spätestens innerhalb von vier Wochen mitzuteilen und unterliegen in ihrer Verwendung einer strengen Zweckbindung.121 Die Aufbewahrungsfrist der Protokolldaten beträgt zwei Jahre. Die Datenschutzbehörden sind verpflichtet, von Amts wegen stichprobenartig oder aber auf Antrag eines Betroffenen die Rechtmäßigkeit der Datenübermittlung anhand der Protokolldaten zu überprüfen. Die Ergebnisse dieser Kontrolltätigkeit werden ihrerseits für achtzehn Monate aufbewahrt und sind nach Ablauf dieser Frist unverzüglich zu löschen. e) Schadensersatz und Haftung Wurden durch die Verarbeitung personenbezogener Daten Interessen eines Betroffenen beeinträchtigt, so wird diesem durch Art. 31 Abs. 1 S. 1, 2 PB nach Maßgabe des innerstaatlichen Rechts ein Anspruch auf Auskunft122 , Berichtigung unrichtiger Daten und Löschung unzulässigerweise gespeicherter Daten zugestanden.123 Zudem haben die Mitgliedstaaten sicherzustellen, dass der Betroffene im Falle der Verletzung seiner Datenschutzrechte eine Beschwerde bei einem Gericht oder aber einer unabhängigen Datenschutzstelle im Sinne der Richtlinie 95/46/EG einreichen kann, sodass ihm die Möglichkeit geschaffen wird Schadensersatzansprüche oder Abhilfe ähnlicher Art gerichtlich durchzusetzen (Art. 31 Abs. 1 S. 3 PB). Wenn fehlerhafte personenbezogene Daten auf Basis des Prümer Beschlusses übermittelt und der Betroffenen durch deren Verarbeitung geschädigt worden ist, so wird dem Betroffenen die Geltendmachung seines Schadensersatzanspruchs insofern erleichtert, als er seinen Anspruch gegenüber der empfangenden Stelle geltend machen kann, ohne dass diese sich ihm gegenüber darauf berufen kann, dass nicht sie, sondern die übermittelnde Stelle für die Unrichtigkeit der Daten verantwortlich ist (Art. 31 Abs. 2 S. 1 PB).124
121
Zu den einzelnen Zwecken vgl. Art. 30 Abs. 3 S. 2 PB. Dieser Auskunftsanspruch geht insoweit über den Auskunftsanspruch der Datenschutzkonvention des Europarats hinaus, da das Prümer Modell auch das Recht erfasst, Auskunft über die Rechtsgrundlage der Datenverarbeitung zu erhalten und ein genereller Ausschluss des Auskunftsrechts durch die Mitgliedstaaten nicht möglich ist. 123 Der Wortlaut der Norm ist insoweit an Art. 8 der Datenschutzkonvention des Europarats, Art. 1 des Zusatzprotokolls v. 08. November 2001, sowie an die Art. 12, 28 Abs. 4 EG-DSRL angelehnt. 124 Art. 31 Abs. 2 S. 2 PB sieht als Ausgleich der Haftungsverpflichtung für den empfangenden Staat einen internen Regressanspruch gegen den übermittelnden Staat vor, von welchem die fehlerhaften Daten stammen. 122
§ 4 Bewertung des Prümer Modells A. Rechtliche Bewertung I. Kritik an der Überführung des Prümer Vertrages in das Europarecht Seit Inkrafttreten des Amsterdamer Vertrages1 ist allen EU-Mitgliedstaaten die Möglichkeit eröffnet, unter dem Dach der Verträge gesonderte völkerrechtliche Abkommen zu schließen. Dieses unter dem Terminus der verstärkten Zusammenarbeit bekannte Vorgehen befähigt eine Gruppe von EU-Mitgliedern Integrationsschritte zu realisieren, welche – mag es durch das Einstimmigkeitsprinzip oder aufgrund anderer Gründe bedingt sein – innerhalb des regulären Gesetzgebungsverfahrens der EU wenig Aussicht auf Erfolg versprächen. Gleichzeitig soll diese Öffnung für eine sog. differentielle Integration Alleingänge eines Teils der Mitgliedstaaten an die EU-Institutionen zurückbinden und damit ein Auseinanderdriften der gemeinsamen Innen- und Justizpolitik verhindern, zu dem es durch bi- oder multilaterale Einzelabkommen außerhalb des EU-Rahmens kommen könnte.2 Funktion der verstärkten Zusammenarbeit muss es sein, einen Raum der Freiheit, der Sicherheit und des Rechts durch Zusammenarbeit einzelner Mitgliedstaaten schneller zu erreichen. Mitgliedstaaten, die zu einer intensivierten Kooperation bereit sind, können so Verpflichtungen verabreden, die weit über den EU-weiten Konsens hinausgehen, und die übrigen Mitgliedstaaten zu einer Beteiligung zwingen, wenn sie sich nicht zum „Außenseiter“ machen möchten.3 Die sich hieraus ergebende Isolierung der nicht einbezogenen Mitgliedsstaaten und ein aus dem Erfolg verstärkter Zusammenarbeit resultierender faktischer Zustimmungsdruck für die außenstehenden Mitgliedstaaten sind rechtlich nur insoweit beachtlich, als diesen die Teilnahme möglich sein muss.4 Mit dem am 27. Mai 2005 unterzeichneten Vertrag von Prüm über die grenzüberschreitende Zusammenarbeit, insb. zur Bekämpfung des Terrorismus, der grenzüberschreitenden Kriminalität und der illegalen Migration machten die hieran beteiligten Vertragstaaten, welche zugleich auch Mitgliedstaaten der EU sind, von ihrem in ex-Art. 40 EUV vorgesehenen Recht Gebrauch, unter einem Teil der Mitgliedstaaten eine engere Zusammenarbeit zu begründen.5 In dem Vertrag von Prüm vereinbarten die beteiligten Staaten im Mai 2005 weitreichende zusätzliche Zusammenarbeitsformen, betonten aber zugleich ihr „Bestreben, die Regelungen des vorliegenden Vertrags in den Rechtsrahmen der Eu1 Vgl. ex-Art. 34 Abs. 2 lit. d EUV, nunmehr ausdrücklich in Art. 20 EUV und Art. 326–334 AEUV detaillierter geregelt. 2 Aden/Busch, in: Roggan/Kutscha, Handbuch Innere Sicherheit (2006), S. 519. 3 Aden/Busch, in: Roggan/Kutscha, Handbuch Innere Sicherheit (2006), S. 519. 4 Röben, in: Grabitz/Hilf/Nettesheim, Recht der EU (2009), Art. 40 EUV, Rdn. 4. 5 Aden/Busch, in: Roggan/Kutscha, Handbuch Innere Sicherheit (2006), S. 519.
142
§ 4 Bewertung des Prümer Modells
ropäischen Union zu überführen.“.6 Den Regeln des EU-Vertrags entsprechend steht der Vertrag jedem EU-Mitgliedstaat zum Beitritt offen.7 Große Teile der Literatur8 und auch das House of Lords9 vertraten den Standpunkt, dass die sieben Unterzeichnerstaaten geltendes EU-Recht gebrochen hätten, indem sie außerhalb der vertraglichen Regelungen der verstärkten Zusammenarbeit (ex-Art. 43–45 EUV) ein völkerrechtliches Abkommen geschlossen haben. So seien wesentliche Schutzmechanismen, wie etwa die Beteiligung des Europäischen Parlamentes mit der Möglichkeit der Abgabe einer Stellungnahme, die im Rahmen der verstärkten Zusammenarbeit vorgesehen sind, nicht genutzt wurden, sodass dem Prümer Vertrag insofern der Makel des bewussten Umgehens der Regelungen der Verträge anhafte. Die vertraglichen Vorgaben der verstärkten Zusammenarbeit seien insofern verbindlich für alle Mitgliedstaaten. Dieser vorgebrachten Kritik an der Entstehung des Prümer Vertrages ist, nachdem durch die Prümer Beschlüsse überwiegende Teile des völkerrechtlichen Prümer Vertrags im August 2008 in das geltende EU-Recht inkorporiert wurden, keinerlei Anknüpfungspunkt mehr verblieben. Die Befürchtung, dass der Prümer Vertrag zu einer Fragmentierung der europäischen Sicherheitspolitik führe, hat sich durch die nunmehr einheitlich innerhalb des gesamten EU-Raumes geltenden Bestimmungen der Prümer Beschlüsse nicht bewahrheitet. Die durch die Literatur den vertragsschließenden Mitgliedstaaten vorgeworfene Verletzung des Grundsatzes der loyalen Zusammenarbeit (Art. 4 Abs. 3 EUV) ist – abgesehen von der fehlenden juristischen Ahndbarkeit einer solchen Verletzung des exArt. 10 EGV auf Ebene des EU-Rechts – nunmehr durch die vollständige Überführung des Vertrages in Form der Prümer Beschlüsse in das EU-Recht Gesetzeshistorie geworden; ihr ist nur ein bloßer politischer Gehalt beizumessen10 : Der Prümer Vertrag hat durch seine nahezu vollständige Inkorporation in Form der Prümer Beschlüsse den Schritt auf die Ebene geltenden EU-Rechts vollzogen. Der dem Prümer Vertrag bis dahin anhaftende Makel, dass er im Rahmen der PJZS eine Zersplitterung der Politiken der Mitgliedstaaten begünstige, kann nunmehr aufgrund der einheitlichen Geltung der PB im gesamten Unionsraum nicht mehr aufrecht erhalten werden. Eine Stärkung der europäischen Integration ist eingetreten. Einer Klärung der nach wie vor umstrittenen Frage, ob die Vorschriften be6
Präambel des Vertrags von Prüm vom 27.05.2005. Haak, EuR, Nr. 2h, 2009, S. 284. 8 Balzacq et al., Security vs. Freedom (2006), S. 118; 132 ff.; Bossong, LSE Challenge Working Paper (7) 2007; Burgess, European Security Review (34) 2007, S. 8 ff.; Mitsilegas, European Criminal Record (2008), S. 331;Walsch, Politiˇcka misao (XLV) 2008, S. 86 ff.; Balzacq, From a Prüm of 7 to a Prüm of 8+: What are the Implications? Arbeitspapier des Europäischen Parlaments: DirectorateGeneral Internal Policies Policy. Department C. Citizens Rights and Constitutional Affairs. Brüssel (BE); Luif , The Treaty of Prüm: A replay of Schengen?; speziell zur Verletzung von ex-Art. 10 EGV Balzacq et al., Security and the two-level game: The Treaty of Prüm, the EU and the management of threats, S. 15 ff.; Kietz/Maurer, Diskussionspapier der Forschungsgruppe EU-Integration, Stiftung Wissenschaft und Politik 2006, S. 9 ff.; Balzacq, The Treaty of Prüm and the principle of loyalty (Art. 10 TEC). Arbeitspapier des Europäischen Parlaments: Directorate-General Internal Policies. Policy Department C. Citizens Rights and Constitutional Affairs. Brüssel (BE); Papayannis, ZEuS 2008, S. 239 ff.; Kierkegaard, Explanatory notes: From Prüm to the EU, S. 1; Guild/Geyer, JECL 2006, S. 61 ff.; Kietz/Maurer, Jahrbuch ÖS (2007), S. 440 ff. 9 House of Lords, Prüm Report (2007), S. 12, Abs. 22. 10 Eckes, European Public Order (2011), S. 150; Niemeier/Zerbst, ERA Forum (8) 2007, S. 540 ff. Vertiefend zu dem System differentieller Integration bei der Umsetzung des Prümer Vertrages Trauner, Decision Traps (2011), S. 156 ff. 7
A. Rechtliche Bewertung
143
treffend der verstärkten Zusammenarbeit den Mitgliedstaaten erlauben, diese Vorschriften zu ignorieren und in Bereichen, welche im EU-Recht geregelt werden, eine Zusammenarbeit nach den Regeln des Völkerrechts und außerhalb des Unionsrahmens aufzunehmen, bedarf es insofern im Rahmen dieser Arbeit daher nicht.11
II. Besondere Datenschutzregelungen des Prümer Ratsbeschlusses Trotz des Fehlens eines allgemeinen Datenschutzniveaus wurde eine Vielzahl von ad hoc-Regelungen innerhalb der PJZS verabschiedet, welche ihre eigenen, jeweils an den entsprechenden Rechtsakt gebundenen Datenschutzniveaus erzeugen und festlegen. Neben den bereits genannten besonderen Datenschutzregelungen, welche z. B. für europäische Behörden wie Europol oder Eurojust, den Datenaustausch zwischen Mitgliedstaaten der EU und Drittstaaten im Rahmen internationaler Abkommen12 oder aber für den Datenaustausch zwischen Europol und Drittstaaten im Rahmen internationaler Abkommen gelten, verdienen die Datenschutzregelungen des Prümer Ratsbeschlusses gesonderte Hervorhebung, da durch das Prümer Modell auf europäischer Ebene erstmalig die Möglichkeit geschaffen wurde, vollautomatisiert einen Datenabgleich von DNA-Profilen, daktyloskopischen Daten und Fahrzeugregister-Daten vorzunehmen. Nicht zuletzt aus der Verpflichtung heraus ein adäquates Schutzkonzept personenbezogener Daten zu garantieren, erwächst ein gesteigertes Bedürfnis nach spezifizierten Datenschutzregelungen. Unter diesem Gesichtspunkt kann es zunächst positiv bewertet werden, dass das Prümer Modell innerhalb seiner Legislativkonzeption einen gesonderten Datenschutzabschnitt enthält13 , welcher sich nicht in einem bloßen Verweis auf bereits bestehende Datenschutzkonzeptionen der polizeilichen Zusammenarbeit erschöpft. Insbesondere erfahren die auf europäischer Ebene geltenden Datenschutzgrundsätze auf den ersten Blick eine Konkretisierung, indem durch die im Modell vorgesehenen Protokollierungspflichten ex post-Kontrollmechanismen und ein gesondertes System der Zweckbindung vorgesehen sind. 1. Unzureichendes Mindestschutzniveau All jene positiven Aspekte des Prümer Datenschutzkonzeptes vermögen es indes nicht, auf europäischer Ebene fehlende allgemein gültige Datenschutzstandards für sämtliche Bereiche der polizeilichen und justiziellen Zusammenarbeit oder gar des gesamten Unionsrechts zu ersetzen.14 Dies ist zunächst durch die Spezifizierung auf einzelne Datenkategorien bedingt, welche zu einer Eingrenzung des sachlichen Anwendungsbereiches des Prümer Datenschutzes führt. Der in Art. 8 GRC enthaltene Grundsatz der Ver11 Zu diesem Problemkreis vgl. Hofmann, EuR 1999, S. 727; Philippart/Edwards, JCMS (37) 1999, S. 90 f. m.w.N. 12 Beispielhaft seien an dieser Stelle das Fluggastdaten (PNR)-Abkommen der EU mit den USA und Australien genannt. 13 So auch Papayannis, ZEuS 2008, S. 245; Prainsack/Toom, Brit.J.Criminol. (50), Nr. 6, 2010, S. 1124. 14 So auch Zöller, ZIS 2011, S. 68.
144
§ 4 Bewertung des Prümer Modells
hältnismäßigkeit erfordert, dass ausgetauschte Daten umso stärker zu schützen sind, je sensibler sie sind. Diesem Erfordernis entspricht das Prümer Modell, indem es seinem sachlichen Anwendungsbereich entsprechend gesonderte Schutzvorschriften für besonders sensible Datenkategorien vorsieht. Problematisch ist jedoch, dass der von den austauschenden Mitgliedstaaten zu gewährleistende Mindeststandard i. R. des Prümer Modells auf das Schutzniveau des Abkommens des Europarates aus dem Jahre 1981 samt Zusatzprotokoll15 herabgesenkt wird. Demnach genügt für die Teilnahme am Datenaustausch nach dem Prümer Modell, dass das innerstaatliche Schutzniveau bezüglich der Verarbeitung übermittelter personenbezogener Daten zumindest den Vorgaben des Europarates entspricht (Art. 25 PB). Dass ein Rechtsakt, der aus Prä-Internetzeiten stammt, in welchen Begrifflichkeiten wie Email, Data Mining oder Data Profiling noch unbekannt waren und zudem für die Mitgliedstaaten nicht bindend ist, in der heutigen Zeit nicht mehr aktuell und stark überholungsbedürftig ist, muss an dieser Stelle nicht weiter vertieft werden.16 Für den Umgang mit personenbezogenen Daten kann somit kein hinreichender Mindestschutzstandard gewährleistet werden. 2. Fehlende Relevanzschwelle beim DNA-Austausch Die in dem Datenschutzregime des Prümer Modells zum Ausdruck kommenden Spezifizierungen nach Datenkategorien können durchaus als positiv bewertet werden. Es ist nicht übertrieben zu sagen, dass für die von dem Rechtsakt erfassten Datenkategorien der Grundstein für eine Anhebung des Datenschutzniveaus beim zwischenstaatlichen Austausch von Informationen gelegt wird und hierdurch den primärrechtlichen Konstituenten des Art. 8 GRC, insb. dem darin enthaltenen Zweckbindungsgrundsatz, deutlichere Konturen gegeben werden. Unterscheidend nach der betroffenen Datenkategorie wird deren Austausch unter dem Prümer Modell an spezifische Zwecke gebunden.17 Ein Zugriff auf DNA-Profile ist demnach nur zum Zwecke der Strafverfolgung zulässig (Art. 3 Abs. 1, S. 1; Art. 4 Abs 1 PB). Auffallend ist jedoch, dass obwohl der Austausch von DNAProfilen im Rahmen der polizeilichen Zusammenarbeit grundrechtsintensivste Wirkung entfalten kann, von dem europäischen Gesetzgeber keine weitergehende Spezifizierung vorgenommen wurde. Dem Zweckbindungsprinzip werden auf Basis des Prümer Modells nur schwache Konturen verliehen. Zwar ist es begrüßenswert, dass der DNA-Austausch nicht zur Verfolgung präventiver Zwecke erfolgen darf, jedoch vermag es die generalisierte Zweckbindung an repressive Strafverfolgungsmaßnahmen nicht, die Hindernisse einer fehlenden Harmonisierung der Strafrechtssysteme der Mitgliedstaaten zu überbrücken. So bleibt von dem Prümer Modell eine grundlegende Fragestellung unbeantwortet18 : Ist der Zugriff auf DNA-Profile bereits bei der Strafverfolgung eines Eigentumsdeliktes möglich, oder nur dann, wenn Straftaten von erheblicher Schwere verfolgt werden sollen? Mit der Speicherung eines DNA-Profiles in eine nationale und zugleich vernetzte Datenbank wird in das Recht auf informationelle Selbstbestimmung eingegriffen, sodass bezweifelt wer15 Übereinkommen des Europarats vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, dem Zusatzprotokoll vom 8. November 2001 zu dem Übereinkommen und den Grundsätzen der Empfehlung Nr. R (87) 15 des Europarats über die Nutzung personenbezogener Daten im Polizeibereich. 16 Zöller, ZIS 2011, S. 68; Kierkegaard, Computer Law & Security Report (24) 2008, S. 250. 17 Hierzu siehe § 3 B. II. 3. b), S. 137. 18 Zöller, ZIS 2011, S. 68; Papayannis, ZEuS 2008, S. 247.
A. Rechtliche Bewertung
145
den kann, ob bei einem Austausch und Abgleich von DNA-Daten zur Aufklärung von Bagatellstraftaten dem Grundsatz der Verhältnismäßigkeit entsprochen wird.19 Es ist richtig, dass die Mitgliedstaaten auf nationaler Ebene eine Konkretisierung der Beschlussregelungen vornehmen sollen und dürfen. Die fehlende Harmonisierung mitgliedstaatlicher Rechtssysteme kann je nach angewandter Rechtsordnung und Politik zu einem Auseinanderklaffen der zur Verfügung gestellten Daten führen. Hieraus erwachsen insb. für den praktischen Vollzug des zwischenstaatlichen Informationsaustausches erhebliche Probleme, welche im schlechtesten Falle – mangels Vertrauen in das rechtmäßige Handeln der anderen Staaten – final zu einer Nichtanwendung der Prümer Beschlüsse führen können. Dass der Grundsatz der Verfügbarkeit – ähnlich dem Grundsatz der gegenseitigen Anerkennung – in seinem praktischen Funktionieren maßgeblich von dem gegenseitigen Vertrauen der beteiligten Mitgliedstaaten abhängig ist, wurde im Rahmen dieser Arbeit bereits dargestellt. Ein solches Vertrauen geht zwingend von einer zwischen den austauschenden Staaten bestehenden Mindestkongruenz im Rahmen des Strafrechts und des Datenschutzrechts aus. Um den gegenseitigen Informationsaustausch zwischen den Mitgliedstaaten zu fördern, wäre es daher erforderlich gewesen, das Zweckbindungsprinzip innerhalb des Prümer Modells einheitlich zu konkretisieren und zwar in dem Sinne, dass der europäische Gesetzgeber hier die Möglichkeit hätte ergreifen müssen, den Zweckbindungsgrundsatz bspw. durch Einbau eines Straftatenkataloges klarere Konturen zu verleihen. Die Verwendung einer solchen sog. materiellen Relevanzschwelle20 , hier in der Form einer Eingrenzung auf spezifische Deliktsgruppen bei deren Vorliegen ein Zugriff auf die DNA-Profile zulässig ist, hat sich im Rahmen der justiziellen Zusammenarbeit als praktikabel bewährt. So lässt sich der praktische Erfolg des Rahmenbeschlusses zur Umsetzung des Europäischen Haftbefehles maßgeblich auf den in ihm enthaltenen Straftatenkatalog zurückführen. Die Integration einer solchen zusätzlichen Relevanzschwelle ist zwingend erforderlich um zu verhindern, dass bereits bei Vorliegen einer Bagatellstraftat sensibelste Daten ausgetauscht werden. Nur auf diesem Wege kann dem Angemessenheitskriterium des Verhältnismäßigkeitsgrundsatzes des Art. 8 GRC entsprochen werden, welcher durch den Zweckbindungsgrundsatz konkretisiert wird. 3. Fehlende Überprüfbarkeit/Kontrollmöglichkeiten Kritik wird gegen die Prümer Beschlüsse insb. auch deshalb erhoben, weil dort darauf verzichtet wurde, eine Einschränkung dazu vorzunehmen, welche Art von Behörden als nationale Kontaktstellen der ausgetauschten Daten eingesetzt werden können. Hierbei hebt sich das Prümer Modell von der konzeptuellen Planung des Grundsatzes der Verfügbarkeit ab, in welchem die Mitgliedstaaten ausdrücklich aufgefordert werden, den Zugriff auf die ausgetauschten Informationen lediglich Strafverfolgungsbehörden und Europol zu
19 Kierkegaard, Computer Law & Security Report (24) 2008, S. 250; Zöller, ZIS 2011, S. 68; Mitsilegas, European Criminal Record (2008), S. 331. Zweifelnd auch der EDSB, ABlEU Nr. C 169/7 v. 21.07.2007. 20 Schaar, DuD (30) 2006, S. 692; Kietz/Maurer, Diskussionspapier der Forschungsgruppe EUIntegration, Stiftung Wissenschaft und Politik 2006, S. 7, 12; McCartney/Wilson/Williams, EurJCrimPolicyRes (17) 2011, S. 312.
146
§ 4 Bewertung des Prümer Modells
gewähren.21 Innerhalb des Prümer Modells wird die Benennung der nationalen Kontaktstellen indes vollständig in das Ermessen der Mitgliedstaaten gestellt. Die Gefahr einer solchen fehlenden Zugriffseinschränkung ist darin zu sehen, dass Geheimdiensten potentiell die Teilnahme am Informationsaustausch eröffnet werden kann, falls diese von einem Mitgliedstaat als Kontaktstelle benannt werden. Das für das deutsche und britische Recht typische Trennungsgebot zwischen Geheimdiensten und Strafverfolgungsbehörden kann auf diese Weise aufgeweicht werden. Balzacq22 befürchtet insoweit, dass die Beteiligung von Geheimdiensten somit zur allgemeinen Regel werden könne, anstatt eine Ausnahme zu bleiben. Nach Bennenung der nationalen Kontaktstellen in Form einer Mitteilung gegenüber dem Rat der Europaischen Union werden diese automatisiert gegenüber den anderen Mitgliestaaten als vertrauenswürdig eingestuft. Ob und inwiefern diese im Anschluss an ihre Benennung und im Rahmen der Ausübung des Informationsaustausches tatsächlich vertrauenswürdig agieren, wird indes keinerlei Kontrollmechanismen unterstellt. Das Prümer Modell sieht keinerlei Möglichkeiten für Datenschutzbehörden vor, beispielsweise im Wege der Konsultation die Rechtmäßigkeit des behördlichen Handelns zu überwachen.23 Das Vertrauen in die Rechtmäßigkeit der agierenden Mitgliedstaaten wird auf diesem Wege abermalig unterstellt. Nationale Datenschutzvorschriften können ausgehebelt werden.24 Die Geltendmachung der sich aus Art. 8 GRC ergebenden Ansprüche des Betroffenen auf Auskunft, Löschung oder Berichtigung wird hierdurch mittelbar geschwächt. Wie soll er effektiv von seinen Folgerechten Gebrauch machen können, wenn die Kontrolle der Rechtmäßigkeit des fremdstaatlichen Handelns sogar den nationalen Kontaktstellen nicht möglich ist? Entsprechend Art. 11 des Prümer Beschlusses richten sich die Befugnisse der nationalen Kontaktstellen nach dem geltenden innerstaatlichen Recht. Es obliegt somit jedem Mitgliedstaat selbst, eigene Bedingungen festzusetzen, welche für die Überwachung und Kontrolle der Datenaustauschvorgänge gelten.25 Somit werden durch das Prümer Modell und den Rekurs auf ein einfaches Kommittologieverfahren die unterschiedlichen Zugriffsrechte nationaler Strafverfolgungsbehörden vertieft, anstatt diese einer Harmonisierung zugänglich zu machen.26 Dass das Vertrauen in das rechtmäßige Handeln der mitgliedstaatlichen Behörden konstruiert wird, tritt ebenfalls im Rahmen der Genehmigungsmechanismen für die Teilnahme an dem automatisierten Datenaustausch hervor. So müssen sich die Mitgliedstaaten einer Bewertung durch den Rat unterziehen, in welcher insb. die Einhaltung der Datenschutz- und technischen Erfordernisse gesondert überprüft wird.27 Der Datenaustausch gemäß dem Prümer Beschluss kann nur stattfinden, wenn alle Datenschutzbestim21 Tatsächlich schließen die übrigen europäischen Informationsdatenbanken wie jene von Europol, Eurojust, SIS und Eurodac, die Zugriffsmöglichkeiten von Geheimdiensten ausdrücklich aus. 22 Balzacq et al., Security vs. Freedom (2006), S. 124; Balzacq et al., Security and the two-level game: The Treaty of Prüm, the EU and the management of threats, S. 8. 23 Kierkegaard, Profiled World (2010), S. 3; Balzacq et al., Security and the two-level game: The Treaty of Prüm, the EU and the management of threats, S. 7 f. 24 Zöller, ZIS 2011, S. 68. 25 Balzacq et al., Security and the two-level game: The Treaty of Prüm, the EU and the management of threats, S. 9. 26 Mitsilegas, European Criminal Record (2008), S. 327 f. 27 Mitteilung der Kommission an das Europäische Parlament und den Rat: Überblick über das Informationsmanagement im Bereich Freiheit, Sicherheit und Recht, KOM (2010) 385 endg., S. 12.
A. Rechtliche Bewertung
147
mungen des 6. Kapitels in innerstaatliches Recht umgesetzt werden. Ob die Umsetzung der besonderen Datenschutzbestimmungen erfolgt ist, wird von Experten anderer Mitgliedstaaten als Teil eines Bewertungsverfahrens anhand eines Fragebogens28 überprüft. Durch einen gesondert zu fassenden Beschluss, in dessen Rahmen dem jeweiligen Mitgliedstaat der Austausch personenbezogener Daten gestattet wird, erkennt der Rat an, dass dieser Mitgliedstaat alle geforderten Datenschutzbestimmungen erfüllt.29 Aufgrund der Einfachheit der Überprüfung anhand eines Fragebogens ist Kietz zuzustimmen, wenn sie befürchtet, dass innerhalb des Zulassungsverfahrens keine tatsächliche Prüfung des Datenschutzniveaus in den einzelnen Mitgliedstaaten vorgenommen wird, sondern die Erfüllung des datenschutzrechtlichen Mindeststandards des Prümer Modells als gegeben unterstellt wird.30 Auch wenn das Prümer Modell dem Betroffenen das Recht auf Berichtigung unrichtiger Daten und Löschung unzulässigerweise verarbeiteter Daten einräumt (Art. 31 PB), darf nicht verkannt werden, dass der Betroffene, dessen Daten einmal in den Informationsverbund des Prümer Modells eingegeben wurden, tatsächlich kaum eine Möglichkeit haben wird, von der Fehlerhaftigkeit der Daten Kenntnis zu erlangen bzw. deren Weitergabe an die beteiligten Mitgliedstaaten nachzuvollziehen.31 Wie will man somit die materielle Rechtmäßigkeit einer transnationalen Informationsübermittlung insb. mit Blick auf den ordre-public-Vorbehalt überhaupt überprüfen?32 4. Verwertbarkeit und Grundsatz der Datenrichtigkeit Bereits innerhalb der unverbindlichen Empfehlung Nr. R (87) 15 des Europarates wird ein wesentlicher Standard für den Bereich des Datenschutzes innerhalb der PJZS gesetzt. So wird es für den Aufbau eines allgemeinen Vertrauens zwischen den mitgliedstaatlichen Strafverfolgungsbehörden als notwendig erachtet, personenbezogene Daten mit einem Hinweis bzgl. des Grades ihrer Richtigkeit und Verlässlichkeit zu versehen.33 Auf primärrechtlicher Ebene ist es der in Art. 8 GRC enthaltene Grundsatz der Qualität von Daten, welcher die Mitgliedstaaten dazu verpflichtet Sorge dafür zu tragen, dass die auszutauschenden Daten inhaltlich richtig sind. Hieraus wird eine korrellierende Hinweispflicht der Mitgliedstaaten begründet. Ein solcher Hinweis kann sich zum einen darin erschöpfen, dass den jeweiligen Daten hinzugefügt wird, ob sie sich auf Fakten und Beweise stützen – in einem solchen Falle wird sodann von hard data/hard intelligence gesprochen – oder ob die betroffenen Daten nur auf Meinungen oder persönlichen Einschätzungen beruhen und insofern lediglich als soft data/soft intelligence zu verstehen sind. Ein Verzicht auf derartige Zusatzhinweise kann sich zu einem ernstzunehmenden Hindernis des grenzüber28
Ratsdokument Nr. 6661/1/09. Bericht der Komission zur Umsetzung des Prümer Beschlusses v. 7.12.2012, KOM (2012) 732 endg., S. 5. 30 Kietz/Maurer, Diskussionspapier der Forschungsgruppe EU-Integration, Stiftung Wissenschaft und Politik 2006, S. 7. 31 McCartney/Wilson/Williams, EurJCrimPolicyRes (17) 2011, S. 319; Geyer, Taking Stock: Databases and Systems of Information Exchange in the Area of Freedom, Security and Justice, S. 7. Ebenso Michael/Mahy, Social Implications (2010), S. 164. 32 Zöller, ZIS 2011, S. 68. 33 Kierkegaard, Explanatory notes: From Prüm to the EU, S. 3. 29
148
§ 4 Bewertung des Prümer Modells
schreitenden Datenaustausches entwickeln und bspw. den polizeilichen Datenaustausch erheblich behindern. Es ist ein Charakteristikum aller Informationsnetzwerke, dass mit zunehmender Zahl ihrer Mitglieder das Risiko sog. Zufallstreffer, d. h. fehlerhafter Treffer, exponentiell anwächst.34 Es gilt hohe Fehlerraten, welche das Ergebnis fehlerhaft genutzter Technologien oder aber fehlender Datenbankupdates durch die Mitgliedstaaten sind, zu minimieren, um das ihnen immanente Risiko der Verdächtigung Unverdächtiger zu verringern.35 Insbesondere dem Austausch von DNA-Profilen wohnt ein hohes Fehlerrisiko inne. Zwar ist es zunächst begrüßenswert, dass nur uncodierte DNA-Profile vom Prümer Modell erfasst werden, d. h. DNA-Teile, welche einen Rückschluss auf personenspezifische Merkmale ihres Trägers nicht zulassen, jedoch ist hierbei der Stand der Technik und Forschung zu berücksichtigen. DNA-Teile, welche heutzutage noch als „neutral“ gewertet werden können, vermögen es mit Fortschritt der Technik personenspezifische Informationen preiszugeben.36 Darüber hinaus besteht eine erhöhte Wahrscheinlichkeit fehlerhafter Treffer beim Abgleich von DNA-Profilen durch die Art und Weise der Ausgestaltung des Austausches von DNA-Profile37 , welche genauer im Anhang des Beschlusses 2008/616/JI38 geregelt ist: Im Rahmen des Austausches werden spezifische Zahlenpaare übermittelt, welche die Allele, d. h. mögliche Ausprägungen eines Gens, das sich an einem bestimmten Ort (Locus) auf einem Chromosom befindet, repräsentieren. Hierbei verwenden die Mitgliedstaaten für den DNA-Datenaustausch bestehende Standards, wie das ESS (European Standard Set) oder ISSOL (Interpol Standard Set of Loci), welche sieben Loci enthalten. Darüber hinausgehend ist den Mitgliedstaaten eröffnet, je nach Verfügbarkeit insgesamt bis zu 24 Loci zu übermitteln, um eine Erhöhung der Treffergenauigkeit zu erzielen. Die automatisierte Information über das Vorliegen einer Übereinstimmung erfolgt jedoch bereits dann, wenn der automatisierte Abruf oder Abgleich eine Übereinstimmung von sechs Loci ergibt („Volltreffer“) oder wenn nur ein Wert abweicht („Beinahe-Treffer“).39 Unabhängig von der Art des Treffers wird dieser der nationalen Kontaktstelle unmittelbar gemeldet. Der Treffergenauigkeit kommt hierbei besondere Bedeutung zu: Je größer die Zahl der übereinstimmenden Loci ist, desto mehr minimiert sich die Wahrscheinlichkeit eines Fehltreffers. In den einzelnen Mitgliedstaaten wurden lange Zeit unterschiedliche Zahlen von Loci sowie unterschiedliche Standardsätze verwendet, sodass der im Anhang des Beschlusses 2008/616/JI enthaltenen Mindestkongruenz von sechs Loci eine Harmonisierungsfunktion zukommt. Dennoch darf hierbei nicht übersehen werden, dass in vereinzelten Mitgliedstaaten, insb. in Großbritannien, eine höhere Zahl von Loci verwandt wird40 , sodass das Beifügen einer Angabe über eine mögliche
34
Vgl. McCartney/Wilson/Williams, EurJCrimPolicyRes (17) 2011, S. 313. Kierkegaard, Profiled World (2010), S. 3. 36 Kierkegaard, Profiled World (2010), S. 3. 37 Hierzu vertiefend Töpfer, CILIP (97) 2010, S. 3 f.; Töpfer, Statewatch Journal (21) 2011, S. 3; Töpfer, GID, Nr. 204, 2011, S. 15. 38 Beschluss 2008/616/JI des Rates zur Durchführung des Beschlusses 2008/615/JI zur Vertiefung der grenzüberschreitenden Zusammenarbeit, insb. zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität, ABlEU Nr. L 210/20 v. 6.8.2008. 39 ABlEU Nr. L 210/20 ff v. 6.8.2008. 40 EDSB, ABlEU Nr. C 89/5 v. 10. 04. 2008. 35
A. Rechtliche Bewertung
149
Fehlerrate der verglichenen Loci das Vertrauen in die fremdstaatlich erhobenen Daten und den damit verbundenen grenzüberschreitenden Abgleich gefördert hätte.41 Auch aus dem Kommissionsbericht42 bezüglich der Umsetzung der Prümer Beschlüsse tritt deutlich hervor, dass die operierenden Mitgliedstaaten insb. die Abgleichsregeln für DNA-Daten als nicht zufriedenstellend empfinden und eine bessere Gestaltung, beispielsweise durch Erhöhung der Loci-Anzahl, für erforderlich halten, um Übereinstimmungen zu vermeiden, die sich bei einer nachfolgenden Überprüfung als falsch herausstellen. Strengt man die Überlegung an, welche Konsequenzen ein Fehlen entsprechender Zusatzhinweise mitunter insb. innerhalb der sich anschließenden nationalen Gerichtsverfahren haben kann, so sind zweierlei Entwicklungen denkbar: Zum einen kann erwartet werden, dass es den entscheidenden Gerichten erschwert wird, Verurteilungen des Betroffenen vorzunehmen.43 Der Grundsatz der richterlichen Beweiswürdigung stieße somit bei der Verwertung von im Ausland erhobenen Daten schnell an seine Grenzen, da sich die Einschätzung der Zuverlässigkeit der außerstaatlich erhobenen Beweismittel der Kenntnis des jeweiligen Spruchkörpers entzieht. Mitunter kann im Rahmen sich anschließender Gerichtsverfahren jedoch auch die gegenteilige Folge eintreten, welche in einer unbekümmerten Verwertung der fremdstaatlichen Beweismittel seine Ausprägung findet. Nach Ansicht von Prainsack ist ein wesentlicher Effekt des Prümer Modells insb. darin zu sehen, dass zu erwarten ist, dass vereinzelte Mitgliedstaaten ihre Strategien zur Tätersuche erheblich verändern werden. So sei abzusehen, dass der DNA-Abgleich zu einer steigenden DNA-Evidenz führen werde. Dies bedeute, dass sich die Arbeit der Verbrechensaufklärung und -prävention maßgeblich auf die forensischen Labore verlagern wird. Die Gefahr einer solchen wachsenden DNA-Evidenz, so Prainsack, sei darin zu erblicken, dass es empirisch bewiesen sei, dass viele Richter, Laienrichter und auch die Öffentlichkeit dazu neigen würden, DNA-Beweise als ultimativ anzusehen und DNA-Spuren einen im Vergleich zu anderen Beweismitteln überlegenen Beweiswert zumessen44 , obwohl dies insb. aufgrund der niedrigen Zahl von loci, welche zu einer Anzeige eines Treffers im Rahmen des Prümer Modells führen, gerade nicht der Realität entspricht.45 5. Fehlende Differenzierung nach Betroffenen Das Prümer Modell verzichtet zudem auch darauf, bei einem erfolgten Treffer (hit) der empfangenden Behörde mitzuteilen, in welcher Relation das betroffene Datensubjekt zu der im Verfahren befindlichen Straftat steht, aus deren Anlass der Datenabgleich erfolgte. Als Folge dessen fehlt es auch an hieran angepassten gesonderten Datenschutzmaßstäben. Eine solche Differenzierung nach Grad des Bezuges zu einer Straftat ist indes im Bereich des Informationsaustausches im Rahmen der polizeilichen und justiziellen Zusammenar-
41
Kierkegaard, Profiled World (2010), S. 3. KOM (2012) 732 endg., S. 9 43 Vgl. McCartney/Wilson/Williams, EurJCrimPolicyRes (17) 2011, S. 313. 44 Prainsack/Toom, Brit.J.Criminol. (50), Nr. 6, 2010, S. 1125 f. spricht hierbei von dem sog. „CSY-Effekt“. Zum CSY-Effekt vertiefend Brewer/Ley, Science Communication (32) 2010, S. 93 ff., sowie Durnal, Forensic Science International 2009, S. 1 ff. 45 Eine Erhöhung der loci im Rahmen des DNA-Abgleichs fordern auch Schneider, Profiles in DNA 2009, S. 7; McCartney/Wilson/Williams, EurJCrimPolicyRes (17) 2011, S. 313. 42
150
§ 4 Bewertung des Prümer Modells
beit keine Neuartigkeit. So existieren bereits zahlreiche Datenschutzinstrumente46 , welche für den Informationsaustausch eine Kategorisierung der Datensubjekte vornehmen. Hierin wird zwischen dem Verdächtigen, dem Tatopfer, Zeugen und sonstigen Dritten differenziert und spezifische Schutzmechanismen sind für die jeweilige Personengruppe vorgesehen. Die Vorteile einer solchen Differenzierung sind maßgeblich von den bereits aufgezeigten kollidierenden Grundinteressen bestimmt. Zum einen verfolgt eine solche Unterscheidung den Schutz der Individualinteressen des jeweils Betroffenen. Hierbei gilt der Grundsatz, dass je weiter entfernt der Betroffene, dessen Daten verarbeitet werden, zu der im Raum stehenden Tat steht, desto höhere Maßstäbe sind an den Schutz seiner Daten zu stellen. Im Kern ist bei einer fehlenden Differenzierung nach Personengruppen vor allem die Verhältnismäßigkeit der Datenverwertung fragwürdig.47 Der Datenaustausch Nichtverdächtiger erfordert insofern ein erhöhtes Schutzniveau. Zum anderen ermöglicht eine solche Kategorisierung den empfangenden mitgliedstaatlichen Strafverfolgungsbehörden die vollumfängliche Verarbeitung und Nutzung der fremdmitgliedstaatlichen Daten. Erhält beispielsweise eine informationssuchende, mitgliedstaatliche Behörde nach dem automatisierten Abgleich entsprechend dem Prümer Modell eine Übereinstimmung mit einem Datensatz eines anderen Mitgliedstaates (hit), so können hieraus erhebliche Verwertungsprobleme entstehen. Das Prümer Modell enthält selbst keine Vorgaben, von welchen Personengruppen z. B. Fingerabdrücke oder aber DNA-Daten in den Kopien der nationalen Datenbanken enthalten sind, welche Maßstab des Abgleiches sind. Insbesondere die DNA-Datenbank des Vereinigten Königreiches Großbritannien zählt zu einer der größten Europas und enthält nicht nur DNA-Spuren von Verdächtigen und Verurteilten. Vielmehr werden zu Ausschlusszwecken der Verdächtigen auch DNA-Daten der Tatopfer, von Zeugen oder aber auch von Minderjährigen erhoben und dem Austausch zugänglich gemacht.48 Durch den Zusammenschluss unterschiedlicher nationaler Datenbanken ermöglicht das Prümer Modell den Abgleich personenbezogener Daten mit offenen Spuren unterschiedlichster Rechtssysteme, sodass Personen, deren Daten beispielsweise als unverdächtige Zeugen in eine nationale Datenbank eingegeben wurden und somit in ihrem eigenen Rechtssystem von Maßnahmen der Strafverfolgung ausgeklammert gewesen wären, in Verdächtige verwandelt werden.49 Indem 46 Z. B. Art. 15 Beschluss 2002/187/JI des Rates vom 28. Februar 2002 über die Errichtung von Eurojust zur Verstärkung der Bekämpfung der schweren Kriminalität (Eurojustbeschluss), ABlEU Nr. L 138 v. 04.06.2009, S. 14 und auch Art. 12, 14 Beschluss des Rates zur Errichtung des Europäischen Polizeiamts 2009/371/JI (Europolbeschluss), ABlEU Nr. L 121 v. 15.5.2009, S. 37. 47 So auch der EDSB, ABlEU Nr. C 169/9 v. 21.7.2007 48 Dies kritisiert auch Delgado im Rahmen der mündlichen Befragung des House of Lords, vgl. House of Lords, Prüm Report (2007), Oral Evidence, Qestion 126, S. 34. Ebenso Stellungnahme des Europäischen Datenschutzbeauftragten (EDSB) zur Initiative des Königreichs Belgien, der Republik Bulgarien, der Bundesrepublik Deutschland, des Königreichs Spanien, der Französischen Republik, des Großherzogtums Luxemburg, des Königreichs der Niederlande, der Republik Österreich, der Republik Slowenien, der Slowakischen Republik, der Italienischen Republik, der Republik Finnland, der Portugiesischen Republik, Rumäniens und des Königreichs Schweden zum Erlass eines Beschlusses des Rates zur Vertiefung der grenzüberschreitenden Zusammenarbeit, insb. zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität, ABlEU Nr. C 169/9 v. 21.07.2007; Papayannis, ZEuS 2008, S. 247. 49 Prainsack/Toom, Brit.J.Criminol. (50), Nr. 6, 2010, S. 1125; Kierkegaard, Computer Law & Security Report (24) 2008, S. 249.
B. Prüm in Zahlen – Tatsächliche Situation
151
das Prümer Modell auf eine Unterscheidung nach Betroffenen verzichtet, werden nationale Unterschiede bei der Datenerhebung zwischen den teilnehmenden Mitgliedstaaten vertieft und eine extensive Sammlung personenbezogener Daten ist zu befürchten.50 Der in Art. 8 GRC enthaltene Grundsatz der Datensparsamkeit, d. h. die Maxime, dass nur so viele Daten erhoben werden dürfen wie tatsächlich auch zum Zwecke der Strafverfolgung erforderlich sind, wird hierdurch zur Disposition nationalstaatlicher Datenschutzregelungen gestellt.
B. Prüm in Zahlen – Tatsächliche Situation I. Umsetzungsstand Der Prümer Beschluss trat am 26. August 2008 in Kraft. Jedoch ist es der Rechtsnatur des Beschlusses geschuldet, dass er zwar für die Mitgliedstaaten der EU verbindlich ist, aber gerade nicht unmittelbar innerhalb der EU-Mitgliedstaaten Wirksamkeit erlangt. Vielmehr ist eine Umsetzung der Beschlussregelungen in das innerstaatliche Recht der einzelnen Mitgliedstaaten erforderlich. Die Umsetzung des Prümer Beschlusses sollte spätestens am 26. August 2009 erfolgen (Art. 36 Abs. 1 PB). Von dieser Frist ausgenommen wurden die Vorschriften des automatisierten Online-Zugriffs (Kapitel 2 PB), welche den automatisierten Datenabgleich von DNA-Profilen, daktyloskopischen Profilen und Fahrzeugregisterdaten zwischen den Mitgliedstaaten regeln. Die Mitgliedstaaten hatten sich verpflichtet bis spätestens zum 26. August 2011 die Regelungen des Prümer Modells in ihr innerstaatliches Recht umzusetzen. Dies bedeutet insbesondere, dass wenn ein Mitgliedstaat nicht über eine für den Datenaustausch nach dem Prümer Modell erforderliche Datenbank verfügte, eben diese zu schaffen ist.51 Anfänglich schien das Prümer Modell einen Erfolgskurs einzuschlagen. So beschlossen Island und Norwegen, welche selbst nicht Mitglieder der EU sind, ebenfalls dem Prümer Modell beizutreten und ihre DNA-, daktyloskopischen und Fahrzeugregisterdaten den beteiligten Mitgliedstaaten für einen automatisierten Abgleich zur Verfügung zu stellen.52 Obwohl nun mehr als vier Jahre seit der Annahme des Prümer Beschlusses vergangen sind und vor mehr als einem Jahr die Prümer Regelungen von den Mitgliedstaaten vollständig in nationales Recht umgesetzt werden sollten, ist das Funktionieren des Prümer Modells unzureichend, erheblich verzögert und ein europaweiter Datenaustausch auf 50
Mitsilegas, European Criminal Record (2008), S. 331. Diese Verpflichtung der Errichtung der Datenbanken ergibt sich aus Art. 2 Abs. 1 PB für DNADatenbanken und aus Art. 8 Abs. 1 PB bezüglich daktyloskopischer Datenbanken. 52 Beschluss des Rates über die Unterzeichnung im Namen der Europäischen Union und die vorläufige Anwendung einiger Bestimmungen des Übereinkommens zwischen der Europäischen Union sowie Island und Norwegen über die Anwendung einiger Bestimmungen des Beschlusses 2008/615/JI des Rates zur Vertiefung der grenzüberschreitenden Zusammenarbeit, insb. zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität, und des Beschlusses 2008/616/JI des Rates zur Durchführung des Beschlusses 2008/615/JI zur Vertiefung der grenzüberschreitenden Zusammenarbeit, insb. zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität, und seines Anhang, 5060/09 v. 26.01.2009. Prainsack/Toom, Brit.J.Criminol. (50), Nr. 6, 2010, S. 1123. 51
152
§ 4 Bewertung des Prümer Modells
Basis des Prümer Modells in weite Ferne gerückt.53 Im Oktober 2012 wurde von der Kommission54 und dem Rat der EU55 der neueste Bericht zum Stand der Umsetzung der Prümer Beschlüsse veröffentlicht, dessen Auswertung ein deutliches Bild zeigt: Die Umsetzung des Prümer Beschlusses und des hierzu gehörenden Durchführungsbeschlusses schreitet nur langsam voran. So sind im Rahmen des automatisierten DNA-Austausches derzeit nur 18 Mitgliedstaaten operierend. Fünf weitere Mitgliedstaaten haben angekündigt, voraussichtlich 2013 operationell zu werden. Dennoch haben insgesamt vier Mitgliedstaaten56 noch keinerlei Maßnahmen ergriffen, um einen automatisierten DNA-Austausch vorzubereiten. Die erheblichsten Verzögerungen sind indes im Bereich des Austausches daktyloskopischer Spuren zu bemerken: Während derzeit nur vierzehn Mitgliedstaaten für den Austausch bereit sind, befinden sich sieben am Anfang des Komitologieverfahrens, um wahrscheinlich gegen Ende 2013 den Betrieb aufzunehmen. Bei sechs Mitgliedstaaten57 ist es noch vollständig unklar, wann diese mit dem Austausch beginnen werden. Dreizehn Mitgliedstaaten tauschen bisher Daten aus Fahrzeugregistern aus, während die Umsetzung dieses Teiles des Prümer Beschlusses noch bei elf Mitgliedstaaten in Arbeit ist. Abermalig haben drei Mitgliedstaaten58 keinerlei Maßnahmen ergriffen bzw. stehen vor anhaltenden Schwierigkeiten. Insgesamt ergibt sich somit das folgende Bild59 : Tabelle 1 Operationelle Mitgliedstaaten im Bereich DNA Fingerabdrücke VRD
BG, CZ, DE, EE, ES, FR, CY, LV, LT, LU, HU, NL, AT, PT, RO, SI, SK, FI BG, CZ, DE, EE, ES, FR, CY, LT, LU, HU, NL, AT, SI, SK BE, DE, ES, FR, LT, LU, NL, AT, PL, RO, SE, SI, FI
1. Gründe der verzögerten Umsetzung Eine vom polnischen Ratsvorsitz im Jahre 2011 in Auftrag gegebene Fragebogenstudie ergab, dass es nicht rechtliche Gründe, wie z. B. die Frage, inwiefern die ausgetauschten Daten gegenseitig rechtlich anerkannt werden können, sondern maßgeblich technische, 53 Vgl. hierzu der Bericht der Kommission an das Europäische Parlament und den Rat zur Durchführung des Beschlusses 2008/615/JI des Rates vom 23. Juni 2008 zur Vertiefung der grenzüberschreitenden Zusammenarbeit, insb. zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität („Prümer Beschluss“) vom 7.12.2012, KOM (2012) 732 endg. 54 KOM (2012) 732 endg., S. 4 f. 55 Für Details siehe Mitteilung des Präsidenten des Rates der Europäischen Union, Implementation of the provisions on information exchange of the „Prüm Decision“, Dok-Nr. 5086/7/12 REV 7 vom 12.10.2012. 56 Es handelt sich hierbei um Griechenland, Irland, Italien und das Vereinigte Königreich. 57 Abermalig sind es Griechenland, Irland, Italien und das Vereinigte Königreich, welche keinerlei Maßnahmen ergriffen haben. Darüber hinaus jedoch auch Polen und Portugal. 58 Griechenland, Portugal, Vereinigtes Königereich. 59 Stand 12. Oktober 2012, vgl. Anlage des Ratsdokuments 5086/7/12.
B. Prüm in Zahlen – Tatsächliche Situation
153
administrative, aber auch finanzielle Gründe sind, welche zu einer schleppenden Umsetzung des Prümer Modells in den Mitgliedstaaten führen. Während z. B. Deutschland bereits über die erforderliche technische Infrastruktur eines Datenaustausches verfügte, musste eine Vielzahl von Mitgliedstaaten der EU60 zunächst die entsprechenden Datenbanken anlegen, damit in einem weiteren Schritt sodann der automatisierte Abgleich nach Maßgabe des Prümer Modells vorgenommen werden kann. Eine solche Errichtung von Datenbanken und der sich aus der Vernetzung ergebenden anschließenden Herstellung der sog. Interoperabilität der vernetzten Datenbanken, d. h. die Kompatibilität der technischen Komponenten, die Standardisierung der Datenformate sowie schließlich auch die Übereinstimmung der Semantik von Daten, bedarf einiger Zeit.61 Eine Vielzahl von Mitgliedstaaten verfügte zudem nicht über die im Rahmen des Umsetzungsprozesses erforderlichen finanziellen Ressourcen.62 Darüber hinausgehend hat sich insb. das Folgeverfahren nach Erhalt eines Treffers als problematisch erwiesen. Gemäß der Art. 5, 10 PB richtet sich die Übermittlung weiterer personenbezogener Daten nach dem innerstaatlichen Recht, einschließlich der Vorschriften über die Rechtshilfe, des ersuchten Mitgliedstaats. Der Anwendungsbereich des Prümer Modells ist somit lediglich auf den automatisierten Abgleich personenbezogener Daten beschränkt, während die Ausgestaltung des Austausches der benötigten Daten wiederum dem Anwendungsbereich der regulären Rechtshilfeinstrumentarien vorbehalten ist. Wie bereits dargestellt, greift innerhalb der Rechtshilferegelungen für die zeitnahe Übermittlung der referenzierten personenbezogenen Daten die sog. Schwedische Initiative ein.63 Zusammenfassend kann festgestellt werden, dass sich bei der Umsetzung des Prümer Beschlusses die typischen Probleme des Informationsaustausches realisieren. 2. Beschleunigungsmaßnahmen der Kommission: Helpdesk und mobile Kompetenzteams Ursprünglich wurde die Überwachung der Umsetzung der Prümer Bestimmungen der Ad-hoc-Arbeitsgruppe zum Informationsaustausch übertragen, deren Aufgaben seit Inkrafttreten des Lissabonner Vertrages durch die Art. 29-Datenschutzgruppe übernommen wurde. Innerhalb dieser Datenschutzgruppe wurden zur Umsetzung der Prümer Beschlüsse verschiedene Initiativen erarbeitet, um die sich schon frühzeitig anzeigende Stagnation des Umsetzungsprozesses zu beschleunigen. So versucht Österreich mit der Unterstützung von Europol, den Umsetzungsprozess durch die Errichtung einer dauerhaften Hilfseinheit (sog. „Prüm Helpdesk“) innerhalb der Europolbehörde zu fördern. Mitgliedstaaten, die bereits Probleme mit der fristgerechten
60
Insbesondere verfügten Italien, Griechenland, Malta und Irland über keine DNA-Datenbanken. Töpfer, CILIP (91) 2008, S. 28. 62 Vgl. hierzu die Kommission in KOM (2012) 732 endg., S. 6: „Die EU-Finanzierung Prümbezogener ISEC-Projekte belief sich bis August 2012 insgesamt auf 6,2 Mio Euro und auf weitere 5,7 Mio. Euro für bereits vertraglich besiegelte, jedoch noch nicht abgeschlossene Maßnahmen. Anhängige Anträge von Ende 2011 belaufen sich auf weitere potenzielle 4,9 Mio. Euro.“ Im Jahre 2013 werden weitere finanzielle Mittel bereitgestellt werden. 63 Hierzu siehe Abschnitt § 2 C. II. 1., S. 95. 61
154
§ 4 Bewertung des Prümer Modells
Umsetzung der Prümer Beschlüsse haben, sollen hierdurch innerhalb von Europol eine gezielte Beratungsstelle als Ansprechpartner erhalten.64 Zusätzlich wurden aufgrund deutscher Initiative sog. „mobile Kompetenzteams“ (MCT) eingerichtet. Zielgruppe dieser Expertengruppe sind nicht operationelle Mitgliedstaaten, welche im Rahmen des Umsetzungs- und Ausführungsprozesses Schwierigkeiten haben. Technisch versierte Expertengruppen (sog. Fokusgruppen) reisen im Bedarfsfalle zu den Mitgliedstaaten und unterstützen diese mit ihrem Wissen. Es ist geplant, alle derzeit vom mobilen Kompetenzteam durchgeführten Aktivitäten bei Ablauf des MCT-Projekts im Juli 2013 an das Helpdesk weiterzugeben.65 Das Einschalten der Fokusgruppen durch die Mitgliedstaaten soll hierbei den Ansatzpunkt für pragmatische Lösungen in all jenen Fällen bilden, in denen die einschlägigen Rechtsvorschriften möglicherweise unklar sind oder Raum für eine Steigerung der Effizienz des aktuellen Mechanismus besteht.66 3. Zukünftig drohende Vertragsverletzungsverfahren? Angesichts der oben dargestellten Gründe der fehlenden Umsetzung der Prümer Beschlüsse verwundert es umso mehr, dass von Seiten der nicht-operationellen Mitgliedstaaten die Unterstützungsmaßnahmen des mobilen Kompetenzteams nicht in Anspruch genommen werden und wurden.67 Die Nichtinanspruchnahme vorhandender Hilfemaßnahmen mit der hieraus zwingenden Folge der nicht fristgemäßen Umsetzung der Prümer Beschlüsse kann derzeit nicht Gegenstand eines möglichen Vertragsverletzungsverfahren bilden, da für die Kommission noch keine Möglichkeit besteht, eine Umsetzung der Prümer Beschlüsse durch die Mitgliedstaaten zu erzwingen. Die Prümer Beschlüsse wurden noch unter der ehemaligen dritten Säule angenommen, sodass die üblichen Regeln für eine Kontrolle der innerstaatlichen Umsetzung während der Übergangsperiode des Lissabonner Vertrages für den Zeitraum von fünf Jahren keine Anwendung finden.68 Innerhalb des Berichts der Kommission zur Umsetzung des Prümer Beschlusses69 hat diese jedoch bereits jetzt angezeigt, dass sie beabsichtigt, mit Ablauf der Übergangsregelungen entsprechend Art. 10 Abs. 3 des Protokolls Nr. 36 AEUV ab Dezember 2014 gegen die mit der Umsetzung säumigen Mitgliedstaaten Vertragsverletzungsverfahren einzuleiten. Nach Ansicht der Kommission70 sei es angesichts der verschiedenen Möglichkeiten, Unterstützung zu erhalten und des langen Zeitraums, der seit der Annahme der Prümer Beschlüsse verstrichen ist, schwierig, Gründe für eine Rechtfertigung der fehlenden Umsetzung zu finden. Vielmehr hätten mit dem entsprechenden politischen Willen und der richtigen Priorisierung die Hürden auf innerstaatlicher Ebene überwunden werden können.
64 65 66 67 68 69 70
Rat der Europäischen Union, Dok-Nr. 15567/10, S. 4 vom 28.10.2010. KOM (2012) 732 endg., S. 10. KOM (2012) 732 endg., S. 11 f. KOM (2012) 732 endg., S. 6. Art. 10 Abs. 1 Protokoll Nr. 36 AEUV. Mitteilung der Kommission, KOM (2012) 732 endg., S. 6. KOM (2012) 732 endg., S. 6.
B. Prüm in Zahlen – Tatsächliche Situation
155
II. Erste Ergebnisse der operationellen Mitgliedstaaten Aufgrund der verlangsamten Umsetzung der Prümer Beschlüsse existieren derzeit nur begrenzt Statistiken, um die Intensität des Informationsaustausches auf europäischer Ebene zahlenmäßig einschätzen zu können. Die Bereitstellung aussagekräftiger Statistiken ist für eine Bewertung des Mehrwertes des Prümer Modells von essentieller Bedeutung.71 Innerhalb der DATIX-Datengruppe hat sich die Mehrheit der Mitgliedstaaten für ein statistisches Modell ausgesprochen, das sich auf die Anzahl der Übereinstimmungen zwischen Datensätzen konzentriert.72 So ergaben sich im Jahr 2011 zwischen den zu diesem Zeitpunkt operierenden Mitgliedstaaten folgende Werte: • Insgesamt überprüfte Übereinstimmungen bei Fingerabdrücken: 2.553 • Gesamtanzahl der DNA-Übereinstimmungen: 20.719 • VRD-Anfragen für welche Informationen gefunden wurden: 260.253 Es ist der Entstehungshistorie des Prümer Modells geschuldet, dass zahlenmäßige Angaben über das Potential, welches diesem Rechtsinstrument innewohnt, maßgeblich aus der Zeit vor der Inkorporation des Prümer Vertrages in das EU-Recht stammen. Von Beginn an galt es, dieses innovative Datenaustauschkonzept zu rechtfertigen und seine Effektivität zu betonen, um eine möglichst zügige Umsetzung innerhalb des EU-Raumes zu erreichen. Nicht zuletzt um die außerhalb des EU-Rechts stattgefundene Kooperation der Vertragsstaaten zu rechtfertigen und um den Grundsätzen des Subsidiaritätsgrundsatzes zu genügen, waren es die beteiligten Vertragsstaaten, welche auf die Überzeugungskraft der Zahlen zurückgriffen, um gegenüber den von der Kooperation ausgeschlossenen Mitgliedstaaten den Nutzen des Prümer Modells zu verdeutlichen. So begannen die Vertragsstaaten unmittelbar nach Inkrafttreten des Prümer Vertrages mit dem Austausch ihrer Strafverfolgungsdaten auf Basis des Prümer Vertrages. Die Anzahl der hierbei erzielten Treffer73 lässt die Wirksamkeit und den Nutzen des Prümer Modells zur Bekämpfung grenzüberschreitender Kriminalität in Zahlen deutlich werden.
71
KOM (2012) 732 endg., S. 12. KOM (2012) 732 endg., S. 7. 73 Die folgenden Angaben sind der Antwort der deutschen Regierung auf die parlamentarische Anfrage von Ulla Jelpke, Inge Höger und Jan Korte, BT-Drs. 16/14150 vom 22.10.2009, S. 4 entnommen. Die angegebenen Zahlen zu den DNA-Treffern erfassen den Zeitraum seit Aufnahme des Wirkbetriebs mit dem jeweiligen Mitgliedstaat bis einschließlich 30.09.2009. Aufgegriffen durch KOM (2010) 385 endg., S. 38. 72
156
§ 4 Bewertung des Prümer Modells Tabelle 2 Beim grenzüberschreitenden DNA-Abgleich von Deutschland erzielte Treffer, gegliedert nach Delikten (2009)
Treffer gegliedert nach Delikten
Österreich
Spanien
Luxemburg
Niederlande
Slowenien
Gemeingefährliche Straftaten Straftaten gegen die persönliche Freiheit Sexualdelikte Straftaten gegen das Leben Sonstige Straftaten Gesamt
32
4
0
5
2
9
3
5
2
0
40 49 3.005 3.135
22 24 712 765
0 0 18 23
31 15 1.105 1.158
4 2 71 79
Die jeweiligen DNA-Treffer lassen sich in folgende Einzelübereinstimmungen aufschlüsseln74 : Tabelle 3 Beim grenzüberschreitenden DNA-Abgleich von Deutschland erzielte Treffer, gegliedert nach Art der erzielten Übereinstimmung (2009)
Spur – Person Spur – Spur Person – Spur Gesamt
Österreich
Spanien
Luxemburg
Niederlande
Slowenien
1.421 1.295 419 3.135
154 420 191 765
3 14 6 23
449 534 175 1.158
34 33 12 79
Beachtlich ist, dass sich die Zahl der Treffer beim DNA-Abgleich zwischen Deutschland und Österreich auf Basis des Prümer Modells innerhalb des Zeitraumes von etwas über einem Jahr (30. 09. 2010–09. 12. 2011) mehr als verdoppelt hat. Waren es im Jahr 2010 noch 3.135 erzielte Treffer im deutsch-österreichischen Austausch, so wurden am 09.12.2011 bereits 7.938 erzielte DNA Treffer erfasst. Dies entspricht einem Anstieg von etwa 253 Prozent. Weiterhin wurden erste Trefferzahlen für den Abgleich von daktyloskopischen Daten von Deutschland mit Österreich veröffentlicht. Während in Deutschland lediglich 325 Treffer zu verzeichnen waren, gelang es Österreich durch den automatischen Abgleich der österreichischen daktyloskopischer Daten mit der deutschen daktyloskopischen Datenbank 2.143 Treffer zu erzielen.75 74 Antwort der deutschen Regierung auf die parlamentarische Anfrage von Ulla Jelpke, Inge Höger und Jan Korte, BT-Drs. 16/14150 vom 22.10.2009, S. 4. Die angegebenen Zahlen zu den DNATreffern erfassen den Zeitraum seit Aufnahme des Wirkbetriebs mit dem jeweiligen Mitgliedstaat bis einschließlich 30.09.2009. 75 Antwort der deutschen Regierung auf die parlamentarische Anfrage von Ulla Jelpke, Inge Höger und Jan Korte, BT-Drs. 16/14150 vom 22.10.2009, S. 4. Die angegebenen Zahlen zu den daktyloskopischen Treffern erfassen den Zeitraum seit Aufnahme des Wirkbetriebs am 1. Juni 2007 mit Österreich bis einschließlich 30.09.2009.
B. Prüm in Zahlen – Tatsächliche Situation
157
Neben den in den Medien auftauchenden Meldungen bzgl. der Aufdeckung spektakulärer, grenzüberschreitender Straftaten mittels des Prümer Modells76 ist festzustellen, dass die operierenden Mitgliedstaaten die neuen Möglichkeiten des automatisierten Datenabgleiches vollends ausschöpfen werden und zu erwarten ist, dass aufgrund der internationalen Vernetzung von Datenbanken eine höhere Anzahl von Verbrechen gelöst werden können.
III. Relativierung der Statistik Auch wenn die vorhandenen statistischen Ergebnisse das Prümer Modell als effektives Instrument zur Bekämpfung und Prävention von Straftaten erscheinen lassen, so muss hierbei berücksichtigt werden, dass jene Zahlen ein verschobenes Bild entstehen lassen. Zum einen erklären sich die hohe Trefferzahlen im Rahmen des Datenabgleichs aus dem Umstand, dass mit der Aufnahme des Austausches nach dem Prümer Modell mit jedem hinzukommenden Vertragsstaat zunächst ein Massenabgleich alter, offener DNA-Profile stattfindet, welcher nach Maßgabe des Prümer Modells im alltäglichen Gebrauch in dieser Form aufgrund des vorgeschriebenen Einzelfallabgleiches nicht möglich wäre.77 Insbesondere der in der Praxis übliche Massenabgleich der DNA-Indexdaten ist mit den Vorgaben des Prümer Modells, welches nur eine Treffer/Nichttreffer Abfrage im Einzelfall vorsieht, nicht vereinbar und verstößt gegen den Grundsatz der Verhältnismäßigkeit.78 Zum anderen gilt es zu sehen, dass sich die offiziellen Zahlen auf den Austausch benachbarter, unmittelbar aneinander angrenzender Mitgliedstaaten beziehen, welche naturgemäß eng miteinander verwoben sind, da hier die Wahrscheinlichkeit der Grenzüberschreitung der Bürger erhöht ist.79 Zudem tritt aus der veröffentlichten Zwischenbilanz des deutschen DNA-Abgleichs mit Österreich, Spanien und Luxemburg vom 27.12.2007 deutlich hervor, dass dem Prümer Modell hauptsächlich ein quantitativer kriminalistischer Nutzen im Bereich der Eigentumskriminalität zukommt80 : Gerade einmal zwei Prozent der erzielten Treffer entfielen auf Straftaten gegen das Leben oder die sexuelle Selbstbestimmung, während der Hauptbereich der Treffer in den Bereichen der Eigentumsdelikte lag. Diese Überzahl aufgeklärter Eigentumsdelikte ist durch den Umstand zu erklären, dass das Prümer Modell maßgeblich an Straftaten anknüpft, bei denen typischerweise biologische Tatortspuren zu finden sind (Raub, Diebstahl). Schwere Straftaten, wie z. B. Menschen76 Hierzu sei nur beispielhaft auf die Erfolgsmeldungen des österreichischen BMI verwiesen: Bundesministerium für Inneres der Republik Österreich, Presseunterlage „Aus dem Inneren“: Internationale Schwerpunkte. Fachgespräch mit Innenministerin Maria Fekter am 19. März, S. 33 f. Weiterhin auch KOM (2010) 385 endg., S. 37. 77 Kierkegaard, Profiled World (2010), S. 2; Schaar, DuD (30) 2006, S. 692; McCartney/Wilson/ Williams, EurJCrimPolicyRes (17) 2011, S. 311. 78 So ausdrücklich Schaar, Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, S. 130. 79 Hierzu Kierkegaard, Computer Law & Security Report (24) 2008, S. 249; Kierkegaard, Profiled World (2010), S. 2: „So können bei einem Einzelfalldatenabgleich zwischen der BRD und Irland naturgemäß nicht gleichermaßen hohe Trefferquoten erzielt werden“. 80 Töpfer, CILIP (91) 2008, S. 26; Busch, GR-Report (2008), S. 41.
158
§ 4 Bewertung des Prümer Modells
schmuggel oder aber Wirtschafts- und Finanzstraftaten, bei welchen von dem Täter keinerlei DNA-Spuren am Tatort hinterlassen werden, können aufgrund der Fixierung auf biologische Daten schwerlich erfasst werden; Straftaten gegen das Eigentum hingegen wird durch das Prümer Modell erhöhte Aufmerksamkeit entgegengebracht.81 Bedauernswert ist zudem, dass auf europäischer Ebene statistische Daten bzgl. der im Rahmen des Prüm-Austausches erzielten fehlerhaften Übereinstimmungen vollständig fehlen und somit auch nach Ansicht der Kommission eine Verbesserung der Statistikmodelle überdacht werden sollte. Durch den Umstand, dass die Mitgliedstaaten innerhalb des Rates abgestimmt haben, lediglich die Zahlen bzgl. erfolgreicher Datenabgleiche zu veröffentlichen, ist es nur schwerlich möglich, die Anzahl jener Übereinstimmungen genauer zu identifizieren, die nach einem Folgeersuchen Informationen ergaben, welche tatsächlich im Rahmen strafrechtlicher Ermittlungen genutzt wurden.82
C. Abschließende Bewertung Alles in allem kann das Prümer Modell als erfolgreicher Versuch einiger Mitgliedstaaten gesehen werden, den generellen Zugriff, welcher durch die Schwedische Initiative im Rahmen des Informationsaustausches die Regel geworden und zudem der Leitsterngedanke des Grundsatzes der Verfügbarkeit ist, zurück zu einem Konzept des begrenzten Zugriffs zu wandeln.83 Insofern ist zu bemerken, dass zahlreiche Regelungen des Prümer Modells und im Speziellen der zweistufige Mechanismus des hit/no-hit-Verfahrens das ihnen zugrunde liegende Konzept der Verfügbarkeit von Informationen unterlaufen84 , indem sie sichern, dass Informationen in der Obhut des Staates verbleiben, der sie gesammelt hat. Durch den Umstand, dass in dem Prümer Modell jedoch zahlreiche Möglichkeiten einer weitergehenden Spezifizierung der zu erhebenden Daten ungenutzt geblieben sind, werden zugleich Möglichkeiten einer extensiven Erhebung und Verwendung sensibelster personenbezogener Daten geschaffen. Leider ist der Anwendungsbereich des Prümer Modells allein auf den Datenaustausch begrenzt und sieht keinerlei Regelungen für die Erhebung, Sammlung und Speicherung personenbezogener Daten vor.85 Diese Ausdehnung verzichtet indes auf eine Harmonisierung der divergierenden nationalen datenschützenden Vorschriften. In diesem Kontext impliziert eine mitgliedstaatliche Kooperation ohne Harmonisierung die Gefahr, den Mitgliedstaaten zum einen die Sammlung personenbezogener Daten zu erleichtern und zum anderen wird es den beteiligten Behörden im Sinne des Forumshoppings ermöglicht, durch fremdmitgliedstaatliche ebenfalls beteiligte Stellen an Informationen zu gelangen, welche sie normalerweise nach eigenem nationalen Recht nicht erheben könnten.86 Der Grundsatz der Verfügbarkeit in seiner Ausformung 81
Prainsack/Toom, Brit.J.Criminol. (50), Nr. 6, 2010, S. 1127. So auch die Forderung der Kommission in KOM (2012) 732 endg., S. 12. 83 Ähnlich auch Balzacq et al., Security vs. Freedom (2006), S. 117. 84 So auch Kietz/Maurer, Diskussionspapier der Forschungsgruppe EU-Integration, Stiftung Wissenschaft und Politik 2006, S. 6. 85 Kierkegaard, Profiled World (2010), S. 4. 86 Mitsilegas, European Criminal Record (2008), S. 323 f. Dem wird von Prainsack/Toom, Brit.J.Criminol. (50), Nr. 6, 2010, S. 1123 f. entgegengesetzt, dass ein positiver Aspekt des Prümer Modells vor allem darin zu sehen sei, dass die Datenschutzdiskussion angeheizt und tiefergehender geworden sei. 82
C. Abschließende Bewertung
159
durch das Prümer Modell verzichtet somit darauf, innerhalb der EU einen gemeinsamen Standard zu schaffen, und erhebt das Vertrauen in die Rechtmäßigkeit des Handelns der beteiligten Behörden zu einem Kernkriterium des stattfindenen Datenaustausches.87 Wie bereits dargestellt88 ist die Schaffung eines allgemeinen, einheitlichen und kohärenten Datenschutzkonzeptes innerhalb des Unionsgebietes auf Basis der neuen Verträge eines der neuen Großvorhaben. So befindet sich derzeit ein Reformpaket zur Stärkung des Datenschutzes im Gesetzgebungsprozess. Ein Vergleich zwischen dem hierzu gehörigen Entwurf einer neuen Datenschutzrichtlinie89 mit den Datenschutzregelungen des Prümer Modells bekräftigt die im Rahmen dieser Arbeit vorgebrachten Kritikpunkte gegenüber dem Prümer Datenschutzmodell. So sieht der RLE vor, dass im Rahmen des Austausches personenbezogener Daten zwischen personenbezogenen Daten verschiedener Kategorien betroffener Personen unterschieden werden muss (Art. 5 RLE). Eine solche Unterscheidung nach Art der betroffenen Personen ist an die Empfehlung des Europarats Nr. R (87) 15 angelehnt und war ursprünglich von der Kommission bereits für den RB 2008/977/JI90 vorgeschlagen worden. Darüber hinausgehend sieht der RL-Entwurf auch eine Unterscheidung nach dem Grad der Vertraulichkeit und der Richtigkeit der Daten vor (Art. 6 RLE). Jene Differenzierungen fehlen innerhalb der sektorspezifischen Datenschutzregelungen des Prümer Modells vollständig. Sobald der Richtlinienentwurf in Kraft tritt führt dies unvermeidbar zu einer Divergenz der Datenschutzregelungen innerhalb der PJZS. Zur Aufweichung dieses Konfliktes enthält die Richtlinie insofern die Regelung, dass besondere Datenschutzkonzeptionen – wie jene des Prümer Modells – von der Richtlinie unberührt bleiben sollen (Art. 59 RLE). Jedoch soll drei Jahre nach Inkrafttreten der Richtlinie eine Überprüfung und eventuell erforderliche Angleichung der besonderen Datenschutzkonzepte an die Richtlinie vorgenommen werden. Spätestens zu diesem Zeitpunkt ist dann also die Möglichkeit gegeben, die im Rahmen dieses Kapitels vorgebrachten Unzulänglichkeiten des Prümer Modells zu beseitigen, um eine effektivere polizeiliche Zusammenarbeit in Strafsachen zu gewährleisten und sich dem Ziel eines einheitlichen Datenschutzniveaus innerhalb der PJZS anzunähern.
87
Mitsilegas, European Criminal Record (2008), S. 333. Siehe hierzu § 3 B. II. 1. b) cc), S. 127. 89 Vorschlag für eine Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, KOM (2012) 10 endg. 90 KOM (2005) 475 endg. 88
§ 5 Zukünftige Entwicklung des Prümer Modells A. Prüm als Export-Modell transatlantischer Kooperation Die gegenseitige Vernetzung nationaler Datenbanken auf Basis des Treffer/KeinTreffer-Systems begründet das dem Prümer Modell innewohnende Potential für einen grenzüberschreitenden Datenaustausch. Hierbei ist zu verdeutlichen, dass das Prümer Modell seiner europarechtlichen Rechtsnatur entsprechend auf den Austausch strafverfolgungsrelevanter Daten innerhalb des EU-Gebietes, also zwischen den Mitgliedstaaten der EU, beschränkt ist (Art. 51 PV). Seit Inkrafttreten des Prümer Modells wurden auf dessen Basis eine Reihe von Rechtsintrumenten entwickelt, welche die territoriale Begrenzung des Prümer Modells durch den Abschluss völkerrechtlicher Abkommen ausweiten und somit einen transatlantischen Datenaustausch auf Basis des Treffer/Kein-Treffer-Verfahrens ermöglichen. Zahlreiche europäische Mitgliedstaaten haben in den letzten Jahren mit den USA sog. „Preventing and Combating Serious Crime-Abkommen“ (PCSC) über den bilateralen Austausch personenbezogener Daten unterzeichnet. Gemein ist all diesen Abkommen, dass das Prümer Modell hierbei deren ausdrückliches Vorbild ist. Zahlreiche Regelungen des Prümer Vertrages und der Prümer Beschlüsse wurden nahezu wortgleich in die von den Mitgliedstaaten abgeschlossenen völkerrechtlichen Abkommen übernommen und gaben den zustande gekommenen Rechtsakten den Namen der „Prüm-like-Abkommen“. Das Prümer Modell hat somit den Status eines transatlantischen Exportmodells1 erlangt. Bereits innerhalb des EU-Gebietes wurde die Entwicklung des Prümer Modells maßgeblich durch die deutsche Ratspräsidentschaft vorangetrieben. Somit verwundert es nicht, dass es auch die Bundesrepublik Deutschland war, welche als erster Mitgliedstaat der EU ein internationales Abkommen mit den USA zur Vertiefung der Zusammenarbeit2 abschloss und somit dem Prümer Modell eine exterritoriale Relevanz zukommen ließ. Das US-Deutsche Abkommen wurde am 1. Oktober 2008 unterzeichnet und ist am 19. April 2011 zwischen den Vertragsstaaten in Kraft getreten. Durch das Abkommen soll den amerikanischen Strafverfolgungsbehörden der direkte Online-Abgleich von zahlreichen in den deutschen Datenbanken enthaltenen personenbezogenen Daten, insb. von Fingerabdrücken, DNA-Profilen und anderen sensiblen Daten, ermöglicht werden. Bereits aus der Präambel des Abkommens3 wird deutlich, dass das transatlantische Abkommen dem 1 Hierzu Bellanova, Prüm: A model ‚Prˇ et-á-Exporter‘? The 2008 German-US Agreement on data exchange, S. 1 ff. Bellanova spricht insofern von einem „spill-over-“ bzw. „ping-pong“-Effekt. 2 Abkommen zwischen der Regierung der Bundesrepublik Deutschland und der Regierung der Vereinigten Staaten von Amerika über die Vertiefung der Zusammenarbeit bei der Verhinderung und Bekämpfung schwerwiegender Kriminalität, BGBl. II 2009/30. Im Folgenden US-Deutsches Abkommen. 3 Vgl. Abs. 4 der Präambel.
A. Prüm als Export-Modell transatlantischer Kooperation
161
Beispiel des Prümer Vertrages folgt und hierbei maßgeblich an den Gehalt des Prümer Modells anknüpft. Beide Regierungen haben ihre Erwartungen bekräftigt, dass das Abkommen als Modell ähnlicher, zukünftiger Abkommen dienen soll (Präambel Abs. 5). Aufgrund der bisherigen Erfahrungen im Rahmen der Inkorporation des Prümer Vertrages in den EU-Rechtsrahmen ist zu erwarten, dass sich weitere Mitgliedstaaten dem transatlantischen Datenaustauschabkommen anschließen werden. Eine solche Entwicklung würde die transatlantischen Sicherheitspolitiken umgestalten und der Europäisierung des Prümer Modells eine neue Dimension verleihen.4 Kerngehalt des transatlantischen Abkommens ist es, ein Prüm-ähnliches Datenaustauschsystem für die transatlantische Kooperation zu errichten. Es beinhaltet somit das Herzstück des Prümer Modells und macht sich dessen wesentliche Neuerung – das Treffer/Kein-Treffer-System für den Austausch von DNA-Profilen und Fingerabdrücken (Kapitel 2 PB) – zunutze und weitet diese zum Teil erheblich aus. Beispielhaft sei an dieser Stelle Art. 10 des Abkommens genannt, welcher die Übermittlung personenbezogener und anderer Daten zur Verhinderung terroristischer Straftaten regelt. Diese Norm wiederholt grundsätzlich die Inhalte des Art. 16 PB. Jedoch ist innerhalb des Abkommens bereits der verdachtslose Abgleich personenbezogener Daten zulässig und die Datenkategorien, welche im Rahmen des Austausches übermittelt werden dürfen, sind im Vergleich zu Art. 16 PB erheblich erweitert. Während auf Basis des Art. 16 Abs. 2 PB als zusätzliche Daten ldgl. Nach-, Vorname, Geburtsort, Geburtszeit und die Umstände, welche die Annahme einer Straftat mit terroristischem Bezug nahelegen, übermittelt werden können, ist auf Basis des US-Deutschen Abkommens zusätzlich auch die Weitergabe von Aliasnamen, früheren Namen, Geschlecht, Nationalität, Reisepassnummern, Nummern anderer Ausweispapiere und Fingerabdruckdaten möglich. Obgleich die Möglichkeiten des Datenaustausches durch das Abkommen im Vergleich zu dem europäischen Prümer Modell erweitert werden, werden durch das Abkommen die Datenschutzregelungen des Prümer Modells abgeschwächt. Während sich die Datenschutzkonzeption des Prümer Modells maßgeblich an den europäischen Datenschutzgrundsätzen orientiert und dem Betroffenen zahlreiche Schutzrechte (Art. 31 PB) garantiert, legt das transatlantische Abkommen seinen Fokus auf einen eher technischen Ansatz, welcher individualrechtliche Schutzpflichten vernachlässigt.5 Insbesondere hat der Betroffene im Fall der Verletzung seiner Datenschutzrechte keine Möglichkeit, sich mit einer Beschwerde an ein unabhängiges und unparteiisches, auf Gesetz beruhendes Gericht zu wenden. Hinzu tritt, dass auf amerikanischer Seite keine unabhängigen Datenschutzbehörden bestehen, welche eine Überwachung der im Abkommen enthaltenen Datenschutzregelungen überwachen können. Die Regelungen zur Zweckbindung sind von zahlreichen Ausnahmen durchbrochen und daher unzureichend. Zusammengefasst lässt sich daher feststellen, dass die Datenschutzvorkehrungen des Prüm-like-Abkommens weit unter dem Niveau bleiben, welches bei Datenübermittlungen in Europa nach Maßgabe des Prümer Beschlusses üblich ist. Obwohl das deutsch-amerikanische Abkommen 2011 in 4 Vgl. Bellanova, Prüm: A model ‚Prˇ et-á-Exporter‘? The 2008 German-US Agreement on data exchange, S. 4 spricht von der „Türöffnerfunktion des Prümer Modells“. 5 Bellanova, Prüm: A model ‚Prˇ et-á-Exporter‘? The 2008 German-US Agreement on data exchange, S. 9. A.A. Stentzel, ZfAS 2010, S. 137 ff., welcher das Abkommen als Aufwertung des bisherigen Datenschutzstandards i. R. des Austausches von Informationen mit Drittstaaten verstehen will.
162
§ 5 Zukünftige Entwicklung des Prümer Modells
Kraft getreten ist, findet derzeitig allerdings ein Datenaustausch mit den amerikanischen Behörden noch nicht statt, da über die technische Ausgestaltung noch verhandelt wird. Angesichts der Internationalisierung des Prümer Modells mittels seiner Übertragung auf den transatlantischen Datenaustausch zu Strafverfolgungszwecken befürchten Stimmen in der Literatur und Datenschützer6 somit zu Recht, dass die engere transatlantische Kooperation zu einem niedrigeren Datenschutz führen kann. Bisher haben über zwanzig Mitgliedstaaten der EU eigenständige bilaterale Prüm-like-Abkommen mit den USA geschlossen.7 Diese Abkommen unterscheiden sich je nach Verhandlungsergebnis der einzelnen Staaten erheblich in Bezug auf ihre datenschutzrechtlichen Ausformungen und unterlaufen in ihrer Gesamtheit somit die Grundzielvorstellung, innerhalb der EU einen einheitlichen, gemeinsamen Rechtsraum schaffen zu können. Nunmehr befindet sich der europäische Gesetzgeber in Verhandlungen mit den USA. Zielvorstellung hierbei ist es, ein Rahmenabkommen der EU mit den USA abzuschließen, durch welches ein Rechtsinstrument geschaffen werden soll, welches den Austausch strafverfolgungsrelevanter Informationen ermöglicht und hierbei die Mechanismen des Prümer Modells verwendet. Obgleich zum jetzigen Zeitpunkt nicht abgeschätzt werden kann, wann und ob ein solches Rahmenabkommen zwischen der EU und den USA geschlossen werden kann, so kann bereits jetzt gesagt werden, dass das Prümer Modell auch außerhalb des EU-Raumes Bedeutung gewonnen hat: Der Treffer/Kein Treffer-Mechanismus des Prümer Modells hat sich für den Austausch strafverfolgungsrelevanter Informationen zu einem transatlantischen Exportmodell entwickelt. Umso wichtiger ist es daher, innerhalb des europäischen Rechtsraumes die spezifischen Datenschutzvorschriften des Prümer Modells unter Heranziehung der Konstituenten des Art. 8 GRC fortzuentwickeln und diese als Leitlinien für die Entwicklung neuer europäischer Informationssysteme zu verstehen.
B. Leitlinien europäischer Informationsund Datenschutzsysteme I. Leitlinien für die Entwicklung zukünftiger Informationssysteme Anhand welcher Leitlinien sind zukünftige europäische Informationssysteme also zu konzipieren, um im Einklang mit den durch Art. 8 GRC statuierten datenschutzrechtlichen Grundsätzen zu stehen? Angelehnt an die politische Situation innerhalb des Unionsgebietes und dem Faktum, dass die einzelnen Mitgliedstaaten ihre Informationshoheiten nicht vollständig aufgeben können und werden, ist zu sehen, dass der zwischenstaatliche Informationsaustausch auch in Zukunft maßgeblich auf Basis des hier beschriebenen Schleusenmodells zu konzipieren und fortzuentwickeln ist. Dies bedeutet, dass der Gedanke eines unionsweiten Informationsverbundes, in welchem die Mitgliedstaaten strafverfolgungsrelevante, personenbezogene Informationen eingeben, um anderen Mitgliedstaaten 6 Schaar, Aktuelle Entwicklungen im europäischen und internationalen Datenschutz unter besonderer Berücksichtigung des transatlantischen Dialogs. Vortrag im Rahmen des Europäischen Datenschutztages. Wien (AT) 30. Januar. Bellanova, Security vs. Justice (2008), S. 10 f. m.w.N. 7 So u. a. Österreich, Tschechien, Dänemark, Deutschland, Estland, Griechenland, Italien, Litauen, Lettland, Ungarn, Malta, die Niederlande, Portugal, Slovakei und Finnland (Stand Dezember 2012).
B. Leitlinien europäischer Informations- und Datenschutzsysteme
163
einen gleichberechtigten und direkten Zugriff in die eigenen Informationsbestände zu gewähren, nicht der zu beschreitenden Weg ist. Traditionelle Informationshilfemechanismen behalten ihre Wichtigkeit und garantieren zudem aufgrund ihrer langjährigen Anwendung i. R. des Informationsaustausches ein zuverlässiges System, welches es auszubauen gilt. Zwangsläufig gerät das Festhalten an den traditionellen Mechanismen der polizeilichen und justiziellen Zusammenarbeit mit dem Konzept des Grundsatzes der Verfügbarkeit in ein Spannungsverhältnis. Jedoch werden durch die Gesetzgebungskompetenzvorschriften des Art. 87 Abs. 2 AUEV, durch das nunmehr auch im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen geltende vereinfachte Gesetzgebungsverfahren und durch die Abschaffung der intergouvernementalen Ausgestaltung der ehem. dritten Säule wesentliche Voraussetzungen geschaffen, um die Errichtung neuer Datensysteme zu erleichtern. Die rechtlichen Grundsätze, an denen sich sämtliche zukünftigen Informationssysteme zu messen haben sind daher: • der Schutz der Grundrechte, insbesondere des Rechts auf Datenschutz, • die Durchführung einer gesonderten Erforderlichkeitsprüfung und schließlich • die Wahrung des Subsidiaritätsgrundsatzes. Die Diskussion um die Schaffung neuer Datenbanken wird sich daher zunächst auf die Prüfung verlagern, ob selbige erforderlich i. S. d. Subsidiaritätsprinzipes des Art. 5 Abs. 1, 3 EUV sind. Wie bereits dargestellt, erlaubt Art. 5 EUV in den Bereichen der geteilten Gesetzgebungszuständigkeiten ein unionales Handeln nur sofern und soweit die Ziele der in Betracht gezogenen Maßnahmen von den Mitgliedstaaten weder auf zentraler noch auf regionaler oder lokaler Ebene ausreichend verwirklicht werden können (Insuffizienzkriterium). So hat die Kommission Ende des Jahres 2012 mitgeteilt, dass in den nächsten Jahren von der Schaffung neuer Rechtsinstrumente zur Verbesserung des europäischen Informationsaustausches innerhalb der PJZS abzusehen ist und stattdessen bereits vorhandene Rechtsinstrumente anzuwenden seien.8
II. Leitlinien eines zukünftigen europäischen Datenschutzsystemes Aufgrund der nunmehr in den Verträgen enthaltenen individualrechtlichen Garantien des Art. 16 Abs. 1 AEUV und des Art. 8 GRC ist zu beantworten, wie ein zukünftiges umfassendes europäisches Datenschutzsystem für den Bereich der polizeilichen und justiziellen Zusammenarbeit auszugestalten ist, um einen umfassenden und möglichst weitreichenden Schutz personenbezogener Daten, welche zu Strafverfolgungszwecken ausgetauscht werden, zu ermöglichen. Die Einhaltung der grundrechtlichen Garantien hat sowohl für die Erschaffung neuer europäischer Informationssysteme innerhalb der PJZS aber auch für die bereits bestehenden Rechtsakte Bedeutung, da deren spezifischen Datenschutzregelungen gegebenenfalls an das neu zu schaffende europäische Datenschutzsystem anzupassen sind. Die Einschränkung des Rechts auf Datenschutz ist nur dann gerechtfertigt, wenn der Eingriff in dieses Grundrecht rechtmäßig ist, mit ihm ein legitimes Ziel 8 Vgl. Mitteilung der Kommission an das europäische Parlament und den Rat, Stärkung der Zusammenarbeit der Strafverfolgungsbehörden in der EU: Das Europäische Modell für den Informationsaustausch, KOM (2012) 735 endg., S. 9.
164
§ 5 Zukünftige Entwicklung des Prümer Modells
verfolgt wird und er zudem auch zwingend notwendig ist. Die in Art. 8 GRC enthaltenen Datenschutzgrundsätze sind hierbei zu wahren. Ein neuer Datenschutzrechtsakt sollte daher um im Einklang mit dem Übereinkommen Nr. 108 und der Empfehlung Nr. R (87) 15 zu stehen zumindest hinsichtlich der folgenden Elemente Änderungen vornehmen: • Schaffung klar umgrenzter Zweckbindungsvorschriften, welche die zweckfremde Verwendung der ausgetauschten Daten nur unter engsten Voraussetzungen zulassen Als Ausfluss des Zweckbindungsgrundsatzes, also der Maxime, dass Daten nur zu einem genau zu spezifizierenden Zweck erhoben werden dürfen und eine sich hieran anschließende Verwertung auch nur zu dem Zwecke rechtmäßig ist, nach welchem sie erhoben wurden, müssen die in dem Rechtsakt enthaltenen Zweckbestimmungen klar umrissen sein. Eine zweckentfremdete Verwendung darf nur unter engen Voraussetzungen zulässig sein und muss die absolute Ausnahme bleiben. Hierbei gilt, dass je sensibler die betroffenen Daten sind, desto mehr Schutz muss ihnen im Rahmen des fremdstaatlichen Zugriffs zukommen. Die Verwendungsmöglichkeiten der Daten müssen daher als umso konkreter umrissen sein, je sensibler die betroffenen Daten sind. Insbesondere bei besonders sensiblen Daten, insb. bei DNA-Profilen, müssen die zulässigen Verwendungszwecke abschließend aufgezählt und konkretisiert werden, sodass eine zweckändernde Verwendung derselbiger vollständigen ausgeschlossen ist. • Eine Unterscheidungen zwischen verschiedenen Kategorien betroffener Personen ist zwingend erforderlich Besondere Garantien für die Verarbeitung von Daten Nichtverdächtiger sind zwingend notwendig um den Grundsatz der Verhältnismäßigkeit, welcher seine Spezifizierung in dem datenschutzrechtlichen Zweckbindungsgrundsatz findet, zu wahren. Eine neu zu schaffende Datenschutzkonzeption muss daher zwingend eine Unterscheidung zwischen den verschiedenen Kategorien der durch den Datenaustausch betroffenen Personen (mutmaßliche Straftäter, Opfer, Zeugen usw.) vornehmen. Dem empfangenden Mitgliedstaat ist mitzuteilen, in welcher Relation das betroffene Datensubjekt zu der im Verfahren befindlichen Straftat steht, aus deren Anlass der Datenabgleich erfolgte. • Spezifische Bestimmungen müssen im Hinblick auf die Verarbeitung biometrischer und genetischer Daten geschaffen werden Der neu zu schaffende Datenschutzrechtsakt muss den Austausch von biometrischen und genetischen Daten unter spezifische Schutzvorschriften stellen. Hierzu zählt zum einen, dass das in dem Prümer Modell vorgesehene System des hit/no-hit-Verfahrens übernommen werden sollte. Ein direkter Zugriff auf fremdmitgliedstaatliche biometrische und genetische Daten muss dementsprechend ausgeschlossen bleiben. Gerade in Bezug auf den Austausch besonders sensibler Daten wie DNA-Profile erfordert der Zweckbindungsgrundsatz weiterhin, dass die repressiven Zwecke, aufgrund derer ein Austausch zulässig ist, bestimmt zu umreißen sind. Es wurde herausgearbeitet, dass hierfür die Verwendung eines Straftatenkataloges zwingend ist. Nur auf diesem Wege kann eine Übermittlung sensibelster Daten zum Zwecke der Verfolgung von Bagatellkriminalität ausgeschlossen werden. Sensibelste Daten dürfen daher nur dann ausgetauscht werden, wenn die Straftaten, aufgrund derer der Austausch erfolgt, eine spezifisch festgelegte materielle Relevanzschwelle überschreiten. Eine solche Relevanzschwelle sollte
B. Leitlinien europäischer Informations- und Datenschutzsysteme
165
sich an dem in den Vorschriften des Europäischen Haftbefehles enthaltenen Straftatenkatalog orientieren. Die Verwendung von biometrischen Daten muss schließlich im Lichte des Verhältnismäßigkeitsgrundsatzes ausschließlich auf Fälle beschränkt werden, in denen keine anderen, weniger stark eingreifenden Mittel verfügbar sind, mit denen sich der gleiche Zweck erreichen ließe. • Mechanismen zur Gewährleistung einer regelmäßig stattfindenden Überprüfung und Berichtigung zur Sicherstellung der Qualität der zu verarbeitenden Daten Personenbezogene Daten bilden den Gegenstand jeglicher zwischenstaatlicher Austauschund Verarbeitungsvorgänge. Sie müssen daher entsprechend dem Grundsatz der Qualität von Daten richtig sein. Hieraus erwachsen für die am Austausch beteiligten Mitgliedstaaten unterschiedlichste Pflichten: So sind die Mitgliedstaaten – noch bevor die Daten zum Austausch bereitgestellt werden – angehalten, die Richtigkeit und Aktualität personenbezogener Daten sicherzustellen, um eine unvorbehaltene Verwertung im empfangenden Mitgliedstaat zu ermöglichen. Im Falle der Unrichtigkeit wandelt sich diese Verpflichtung in eine Löschungs- bzw. eine Aktualisierungsverpflichtung. Daten, welche auf harten Fakten beruhen, müssen zwingend anders behandelt werden als Daten, welche auf Meinungen und persönlichen Einschätzungen beruhen. Um dies zu garantieren sind personenbezogene Daten daher zwingend mit einem Hinweis bzgl. des Grades ihrer Richtigkeit und Verlässlichkeit zu versehen. • Strikte Begrenzung der zulässigen Speicherungsdauer Ausfluss des Zweckbindungsgrundsatzes ist es zudem, dass die Speicherungsdauer nach den Erfordernissen des Speicherungszweckes zu begrenzen ist. Nach Beendigung des Datenaustausches sind die auf Anfrage übermittelten Daten daher unverzüglich zu löschen, es sei denn ihre Weiterverarbeitung ist gesondert gesetzlich zugelassen. Gleichwohl divergieren bislang die Löschungs- bzw. Prüffristen der in Informationssysteme eingespeisten Daten der einzelnen mitgliedstaatlichen Vorschriften ganz erheblich. Eine verbindliche Festsetzung konkreter Löschungs- und Prüffristen im Wege einer Harmonisierung ist daher zwingend erforderlich. • Gesonderter Schutz besonders sensibler Daten Der Grundsatz der Datensparsamkeit erfordert, dass die Übermittlung von personenbezogenen Daten auf solche Daten zu beschränken ist, welche konkret für den mit dem Datenaustausch verfolgten Zweck zwingend erforderlich sind. Die Übermittlung von sog. überschießenden Daten, aus denen die politische Anschauung, die rassische und ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen oder Daten, die die Gesundheit oder das Sexualleben betreffen, müssen i. R. einer neuen Datenschutzregelung gesonderten Schutz erfahren. Sobald derartige Daten mit der konkreten Tat, aufgrund derer der Austausch erfolgte, nicht in unmittelbarem Zusammenhang stehen, ist deren Verarbeitung generell verboten. Folglich darf ein neues Datenschutzsystem deren Übermittlung nur im Ausnahmefall und unter bestimmten Bedingungen zulassen. • Einheitliche Regelung der Folgeansprüche im Falle der Datenverwendung Die Gewährleistung der nach Art. 8 GRC verbürgten Datenschutzgarantien ist nur dann möglich, wenn effektive Rechtsschutzmöglichkeiten der betroffenen Individuen gesichert
166
§ 5 Zukünftige Entwicklung des Prümer Modells
sind. Ein neues Datenschutzsystem erfordert daher zwingend die Festlegung einheitlicher Kontrollmechanismen auf Unionsebene. Nationale Kontaktpunkte der Mitgliedstaaten sollten daher in regelmäßigen Abständen auf die Rechtmäßigkeit ihres Handelns hin überprüft werden. Zudem muss gewährleistet sein, dass den betroffenen Subjekten des Datenaustausches effektive Möglichkeiten zum Schutze ihrer rechtlichen Interessen gewährt werden. Gerade ein System vernetzter Datenbanken, welches den Mitgliedstaaten die Möglichkeit schafft in sie eingespeisten Daten abzurufen ohne vorherige Kontrollmechanismen im Wege der herkömmlichen Informationshilfemechanismen passieren zu müssen, muss spätestens im Anschluss an den Datenaustausch einheitliche Rechtsschutzmöglichkeiten vorsehen. Eine nachträgliche wirksame Kontrolle durch den Einzelnen ist daher ohne die anerkannten Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung, Löschung oder Sperrung der Daten, nicht vorstellbar. Die Ausgestaltung dieser sog. Folgerechte muss wirksam sein. Dies bedeutet, dass der neue Datenschutzrahmen Instrumente bereit stellen muss, mit deren Hilfe der Einzelne seine Rechte in der Praxis auch tatsächlich ausüben kann. Einheitliche Entschädigungsrechte für den Fall der unrechtmäßigen Verwendung sind zwingend zu schaffen. Darüber hinausgehend ist die Einführung der Verpflichtung einer doppelten Protokollierung zu fordern. Dies bedeutet, dass empfangende ebenso wie übermittelnde Staaten den Datenaustauschvorgang gleichermaßen zu protokollieren haben. Nur im Wege einer solchen doppelten Protokollierung kann eine Nachverfolgbarkeit des Datenflusses zwischen den an den Datenbanken beteiligten Mitgliedstaaten ermöglicht werden. Die Geltendmachung der Folgeansprüche des von dem Austausch Betroffenen muss zudem in dem Heimatstaat des Betroffenen möglich sein. Dies muss auch dann gelten, wenn ein anderer am Austausch beteiligter Mitgliedstaat die Daten unrechtmäßig verwendet hat. Nur auf einem solchen Wege kann dem Ziel eines effektiven Rechtsschutzes entsprochen werden. Insbesondere i. R d. Austausches mit Drittstaaten muss den betroffenen Bürgern ein direkter individueller und gerichtlich durchsetzbarer Anspruch auf Berichtigung und Löschung der Daten zustehen.
C. Ergebnisse Der im Rahmen dieser Arbeit herausgearbeitete Befund ist ein deutlicher: Die vollständige Umsetzung des Konzeptes des Verfügbarkeitsgrundsatzes ist politisch gescheitert. Nach wie vor ist ein grenzenloser Austausch von Informationen innerhalb des Unionsgebietes nicht losgelöst von den traditionellen Informationshilfemechanismen möglich. Das durch den Verfügbarkeitsgrundsatz fingierte Vertrauen in das rechtmäßige Handeln fremdmitgliedstaatlicher Behörden bleibt bloße Fiktion. Fehlt dieses Vertrauen, so kann es auch nicht durch die dem Verfügbarkeitsgrundsatz entspringenden Rechtsakte konstruiert werden. All jene Legislativakte eint das Schicksal, dass sie nur zögerlich und stark verspätet – zumeist erst nach Ablauf der Umsetzungsfristen – in nationales Recht umgesetzt wurden. Sie können insofern lediglich als Begleiterscheinungen verstanden werden, um das immerwährend strapazierte, aber faktisch fehlende Vertrauen zwischen den Mitgliedstaaten entstehen lassen zu können. In der Vergangenheit zeichnete sich das legislative Vorgehen auf europäischer Ebene maßgeblich dadurch aus, dass sehr schnell Mechanismen ge-
C. Ergebnisse
167
schaffen wurden, durch welche ein rascher Datenaustausch ermöglicht werden sollte und erst im Anschluss hieran – quasi in einem zweiten Schritt – die Voraussetzungen für die Sicherung der hierdurch betroffenen individualrechtlichen Schutzinteressen geschaffen wurden. Notwendigerweise mußte der Verfügbarkeitsgrundsatz das vielfach strapazierte Vertrauen durch stete Wiederholung in das Bewusstsein der Mitgliedstaaten rufen. Es hat sich gezeigt, dass ein funktionierender Austausch strafverfolgungsrelevanter Informationen zwischen den Mitgliedstaaten nicht ohne korrellierende Datenschutzregime möglich ist. Vertrauen zwischen den Mitgliedstaaten erfordert zwingend die Harmonisierung nationaler Rechtsnormen. Nur ein ausgewogener Datenschutzrahmen vermag es die Voraussetzungen für eine sich hieran anschließende Verfügbarkeit von Informationen zu schaffen und ein Vertrauen in die Rechtmäßigkeit des Handeln fremder Mitgliedstaaten entstehen zu lassen. Trotz der Existenz besonderer Datenschutzkonzepte im Rahmen der polizeilichen Zusammenarbeit fehlt auf europäischer Ebene ein allgemein anwendbares Datenschutzregime, durch welches allgemein-gültige Grundprinzipien für den Austausch personenbezogener Daten zum Zwecke der Strafverfolgung festgesetzt werden. Zu Recht kann der Datenschutz innerhalb der PJZS daher als zersplittert, unübersichtlich und widersprüchlich charakterisiert werden. Die Suche nach der anzuwendenen Datenschutznorm kann im Einzelfall der sprichwörtlichen Suche der Nadel im Heuhaufen gleichkommen. Der Lissabonner Vertrag hat auf organisatorischer, legislativer und institutioneller Ebene zahlreiche Veränderungen gebracht, welche nunmehr als Basis und Fundament für die Entwicklung eines allgemeingültigen, harmonisierten Datenschutzsystems dienen können. Der Schutz personenbezogener Daten und die damit verbundenen Individualinteressen erfahren nunmehr einen verstärkteren Schutz. Nach der Abschaffung der Säulenstruktur der EU und der Überführung der PJZS in das Recht der Europäischen Gemeinschaften wurde mit Art. 16 AEUV erstmalig eine primärrechtliche allgemeingültige Datenschutzvorschrift geschaffen. Zunächst wird durch dessen Abs. 1 ein unionales Grundrecht des Datenschutzes begründet, welches näher durch Art. 8 Abs. 1 und Abs. 2 GRC ausgeformt wird und weit über den Wortlaut des ex-Art. 286 EGV hinausgeht.9 Korrespondierend hierzu sieht Art. 16 Abs. 2 AEUV eine gesetzliche Grundlage für den Erlass von Sekundärrechtsakten vor und bedingt durch die Überführung des Raumes der Freiheit, der Sicherheit und des Rechts in den AEUV findet nunmehr auch für den polizeilichen Informationsaustausch zu Strafverfolgungszwecken das ordentliche Gesetzgebungsverfahren Anwendung. Die Mitwirkungsmöglichkeiten des Europäischen Parlaments, welches bis zum Inkrafttreten des Lissabon-Vertrages nur ein reines Konsultationsrecht ausüben konnte, werden beachtlich erweitert. Zudem wird durch die Abschaffung des Einstimmigkeitserfordernisses und die Einführung des Mehrheitsprinzips im Rahmen von Beschlussfassungen des Rates die Möglichkeit geschaffen, das bis dahin vorherrschende „Rennen nach dem kleinsten gemeinsamen Nenner“10 zugunsten einer fortentwicklungsoffenen Politik des RFSR zu beenden. Weiterhin erfährt das Recht auf den Schutz personenbezogener Daten durch den neu geschaffenen Art. 6 EUV eine Stärkung: Durch ihn werden die Rechte, Freiheiten und Grundsätze der Charta der Grundrechte der Europäischen Union anerkannt und der Beitritt der EU zur EMRK ermöglicht. 9 10
Kotzur, in: Geiger/Khan/Kotzur, EUV/AEUV (2010), Art. 16 AEUV, Rdn. 2. de Hert/Riehle, ERA Forum 2010, S. 165.
168
§ 5 Zukünftige Entwicklung des Prümer Modells
Durch diese nur beispielhaft aufgezählten Veränderungen, vor allem aber auch durch die Abschaffung der Säulenstruktur, ergibt sich nunmehr die Möglichkeit, das Datenschutzpuzzle aus Rahmenbeschluss, Richtlinie und Spezialregelungen zu reformieren und zu einem einheitlichen Bild zusammenzufügen. Diese Änderung ist mangels einer fehlenden generellen Datenschutzregelung auf EU-Ebene zwingend erforderlich und somit eines der zukünftigen Großprojekte bei der Umsetzung des neuen Aktionsplanes der EU.11 Vor diesem Hintergrund hat die Kommission mehrfach hervorgehoben, dass es einer „einheitlichen Regelung zum Schutz personenbezogener Daten“ bedarf und die „Position der EU bezüglich des Schutzes personenbezogener Daten bei allen EU-Maßnahmen, einschließlich jener in den Bereichen Strafverfolgung und Kriminalprävention“ gestärkt werden müsse.12 Das Prümer Modell vermag es in seinem Zusammenspiel mit der sog. Schwedischen Initiative, den Informationsfluss von Strafverfolgungsdaten innerhalb der EU auf eine neue Ebene zu heben. Das ursprüngliche Ziel der vollständigen grenzenlosen Verfügbarkeit kann durch die Verknüpfung beider Rechtsinstrumente zwar nicht erreicht werden. Jedoch sieht das Prümer Modell zahlreiche datenschutzrechtliche Schutzmechanismen vor, welche es zu fördern und zu wahren gilt. Leider ist der Datenschutz auf europäischer Ebene nach wie vor zersplittert und fragmentarisch geregelt. Es bleibt abzuwarten, inwiefern das Datenschutzregime des Prümer Modells durch das neue Datenschutzreformpaket der Kommission eine Änderung erfahren wird. Spätestens drei Jahre nach dem Inkrafttreten der neuen Reformpakete wird die Kommission prüfen, ob die in den Prümer Beschlüssen enthaltenen sektorspezifischen Vorschriften für die polizeiliche und justizielle Zusammenarbeit in Strafsachen langfristig an die neue allgemeine Datenschutzregelung angepasst werden müssen. Nach dem Inkrafttreten des Lissabonner Vertrages hätte erstmalig die Gelegenheit ergriffen werden können, eine übergreifende europäische Datenschutzkonzeption zu erschaffen, welche in Bezug auf den grenzüberschreitenden Datenaustausch nicht mehr zwischen ehemals erster und ehemals dritter Säule unterscheidet. So ließ sich die Ausklammerung des Datenschutzes für den Austausch personenbezogener Daten zwischen Strafverfolgungsbehörden aus der Datenschutzrichtlinie 95/46/EG historisch aus dem Kontext der nunmehr abgeschafften Tempelstruktur der EU zu erklären. Aufgrund der damals vorherrschenden intergouvernementalen Organisationsstruktur der PJZS musste diese nach dem Regime der alten Verträge gegenüber der supranationalen Ausgestaltung der Europäischen Gemeinschaften bewusst ausgeklammert werden. Hieraus kann jedoch nicht geschlossen werden, dass die polizeiliche und justizielle Zusammenarbeit sich von dem Datenaustausch innerhalb der ehemaligen EG vollständig unterscheidet.13 Diese Ähnlichkeit wird nicht nur durch das Pupino-Urteil14 des EuGH verdeutlicht, in welchem der Gerichtshof die Datenschutzgrundsätze der ehemals ersten Säule auf einen Rahmenbeschluss anwandte, sondern auch durch die Auflösung der Säulenstruktur an sich. 11 Siehe hierzu Mitteilung der Kommission an das Europäische Parlament und den Rat, Ein Raum der Freiheit, der Sicherheit und des Rechts im Dienste der Bürger, KOM (2009) 262 endg. v. 10.06.2009, S. 9. 12 So KOM (2009) 262 endg. v. 10.06.2009; KOM (2010) 171 endg. v. 20.04.2010; KOM (2010) 609 endg. v. 04.11.2010, S. 15. 13 So Hijmans, ERA Forum 2010, S. 224. 14 EuGH, C-105/2003, ECR I-5285, NJW 2005, S. 2839.
C. Ergebnisse
169
Der Grundgedanke des nunmehr geltenden Artikel 16 Abs. 2 AEUV ist: Die Gesetzgebungskompetenz für den Bereich des Datenschutzes ist systematisch innerhalb der Verträge nunmehr im Rahmen der allgemein geltenden Grundsätze des EU-Rechts verankert. Der europäische Gesetzgeber wird verpflichtet, das Recht eines jeden Individuums auf den Schutz der ihn betreffenden personenbezogenen Daten zu schützen. Artikel 16 Abs. 2 EUV bildet nunmehr die zentrale Norm des Datenschutzes innerhalb der EU. Schließlich sind es auch Zweckmäßigkeitserwägungen, welche für die Wahl eines einzigen Rechtsinstruments zum Austausch personenbezogener Daten gesprochen hätten. Nur durch eine einheitliche Regelung hätten Widersprüchlichkeiten des Schutzumfanges vermieden werden können; Rechtssicherheit hätte geschaffen werden können.15 Es hat sich gezeigt, dass die strenge Unterscheidung zwischen polizeilich-justiziellen Daten und personenbezogenen Daten im privaten Bereich zu zahlreichen Unsicherheiten geführt hat, da sie künstlich ist und in der Realität aufgrund der Verschränkungen beider Bereiche nur schwerlich vollzogen werden kann.16 Ungeachtet der Bestimmung des Art. 16 AEUV und der Abschaffung der Säulenstruktur darf indes nicht verkannt werden, dass nach wie vor innerhalb der Verträge zahlreiche Elemente existieren, durch welche die Diversität von Maßnahmen innerhalb der PJZS und sonstigen unionalen Handelns betont wird.17 So sieht die den Lissabonner Vertrag begleitende Erklärung Nr. 2118 für den Bereich der justiziellen und der polizeilichen Zusammenarbeit in Strafsachen die Möglichkeit vor, spezifische Datenschutzvorschriften zu erlassen, wenn sich diese als erforderlich erweisen. Zudem verlangt der Wortlaut des Art. 16 AEUV nicht zwingend einen einzigen, für alle Bereiche unionalen Handelns geltenden einheitlichen Rechtsakt zur Umsetzung des Datenschutzes; Europäisches Parlament und Rat werden lediglich verpflichtet, „Vorschriften“ zum Schutze personenbezogener Daten zu erlassen. Ob es sich hierbei um ein allumfassendes Rechtsinstrument im Sinne eines „umbrella“-Rechtsaktes zu handeln hat, welcher einheitlich sämtlich unionales Handeln unter seinem „Schirme“ vereint, oder ob mehrere Rechtsakte erlassen werden können, wird durch die Norm selbst nicht beantwortet. Durch Art. 16 Abs. 2 AEUV wird somit auch die Option eröffnet verschiedene Rechtsakte zu erlassen, welche sodann in ihrem Zusammenwirken ein umfassendes Datenschutzkonzept formen, sodass der spezifischen Natur des Datenaustausches im Rahmen der polizeilichen und justiziellen Zusammenarbeit entsprochen werden kann.19 Die Bedeutung des Prümer Modells für den Datenaustausch und seine Werthaltigkeit zeigt sich deutlich in den innerhalb der letzten Zeit zu verzeichnenden Exterritorialisierungstendenzen. Der Prümer Beschluss ist zu einem Exportmodell des transatlantischen Datenaustausches geworden. Diese Entwicklungen sind kritisch zu beobachten, da innerhalb der EU geltende Datenschutzregelungen durch den Abschluss der Prüm-like-Abkommen abgeschwächt werden und weit hinter den europäischen Datenschutzstandards zurückbleiben. Innerhalb des europäischen Datenaus15
Hijmans, ERA Forum 2010, S. 225. Hijmans, ERA Forum 2010, S. 225. Um nur einige Beispiele zu nennen, sei auf die Urteile des EuGH zum PNR-Abkommen oder aber bezüglich der Vorratsdatenspeicherung verwiesen. 17 Hierzu Blas, ERA Forum 2010, S. 234 f. 18 ABlEU 2008 Nr. C 115/345. 19 Ausführlich zu den Besonderheiten des Datenaustausches im Rahmen der PJZS und dem Bedarf einer maßgeschneiderten Datenschutzregelung für diesen Bereich vgl. Blas, ERA Forum 2010, S. 236 ff. 16
170
§ 5 Zukünftige Entwicklung des Prümer Modells
tausches kann das Prümer Modell jedoch als tragender Grundstein für die Fortentwicklung eines zukünftigen europäischen Austausches von Strafverfolgungsdaten verstanden werden, dessen Gehalte fortentwicklungswürdig – aber zugleich auch fortentwicklungsbedürftig – sind.
Literaturverzeichnis Aden, Hartmut: Stellungnahme zum Entwurf der Bundesregierung eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union (BT-Drucksache 17/5096), vorgelegt zur Anhörung des Innenausschusses des Deutschen Bundestages. Berlin, 19. September, 2011 Akmann, Torsten: Die Zusammenarbeit in den Bereichen Justiz und Inneres als „3. Säule“ des Maastrichter Unionsvertrages, JA 1994, S. 49 ff. Albers, Marion: Zur Neukonzeption des grundrechtlichen Datenschutzes, in: Haratsch/Kugelmann/ Repkewitz (Hrsg.): Herausforderungen an das Recht der Informationsgesellschaft. 36. Tagung der Wissenschaftlichen Mitarbeiterinnen und Mitarbeiter der Fachrichtung Öffentliches Recht, Mainz 1996, Stuttgart (u. a.) 1996, S. 113 ff. –
Umgang mit personenbezogenen Informationen und Daten, in: Hoffmann-Riem/SchmidtAßmann/Voßkuhle (Hrsg.): Grundlagen des Verwaltungsrechts, Band II: Informationsordnung, Verwaltungsverfahren, Handlungsformen, 2. Auflage, München 2012. – Kapitel § 22, S. 107 ff.
Ambos, Kai: Vom Sinn des Strafens auf innerstaatlicher und supranationaler Ebene, JuS 2001 Nr. mm, S. 9 ff. –
Internationales Strafrecht. Strafanwendungsrecht. Völkerstrafrecht. Europäisches Strafrecht, 2. Auflage, München 2008
Ambos, Kai/Rackow, Peter: Institutionelle Ordnung der Europäischen Union und Europäischen Gemeinschaft, Jura 2006, S. 505 ff. Argyropoulos, Christophoros D.: Legitimationsprobleme prozessualer Regelungen des Corpus Juris am Beispiel griechischer Verfassungsgrundsätze, KritV 1999, S. 201 ff. Balzacq, Thierry: From a Prüm of 7 to a Prüm of 8+: What are the Implications? Arbeitspapier des Europäischen Parlaments: Directorate-General Internal Policies Policy. Department C. Citizens Rights and Constitutional Affairs. Brüssel (BE), 2006 –
The Treaty of Prüm and the principle of loyalty (Art. 10 TEC). Arbeitspapier des Europäischen Parlaments: Directorate-General Internal Policies. Policy Department C. Citizens Rights and Constitutional Affairs. Brüssel (BE), 2006
Balzacq, Thierry/Bigo, Didier/Carrera, Sergio/Guild, Elspeth: Security and the two-level game: The Treaty of Prüm, the EU and the management of threats, CEPS Working Document No. 234/2006 2006 –
The Treaty of Prüm and EC Treaty: Two Competing models in EU internal security, in: Balzacq/ Carrera (Hrsg.): Security versus freedom? A challenge for Europe’s future, Hampshire, Ashgate 2006, S. 115 ff.
Barriga, Stefan: Die Entstehung der Charta der Grundrechte der Europäischen Union: Eine Analyse der Arbeiten im Konvent und kompetenzrechtlicher Fragen. 1. Auflage, Baden-Baden 2003 Bauer, Hartmut: Die Bundestreue: zugleich ein Beitrag zur Dogmatik des Bundesstaatsrechts und zur Rechtsverhältnislehre, Tübingen 1992 Baumeister, Peter: Das Subsidiaritätsprinzip und seine Bedeutung im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen, in: Wolter/Schenke/Hilger/Ruthig/Zöller (Hrsg.): Alternativentwurf Europol und europäischer Datenschutz, Heidelberg 2008, S. 158 ff.
172
Literaturverzeichnis
Bellanova, Rocco: The „Prüm Process“: The Way Forward for EU Police Cooperation and Data Exchange? in: Guild/Geyer (Hrsg.): Security versus Justice? Police and Judicial Cooperation in the European Union, Hampshire (UK), Ashgate 2008. – Kapitel 11, S. 203 ff. –
Prüm: A model ‚Prˇet-á-Exporter‘? The 2008 German-US Agreement on data exchange, CEPS Challenge Programme Research Paper No. 13 März 2009
Bernsdorff, Norbert/Borowsky, Martin: Die Charta der Grundrechte der Europäischen Union, Handreichungen und Sitzungsprotokolle, Baden-Baden 2002 Bigo, Didier/Bruggeman, Willy/Burgess, Peter/Mitsilegas, Valsamis: Principe de disponibilité des informations, Paris (FR), Policy Recommendations 2007 Blas, Diana Alonso: Ensuring effective data protection in the field of police and judicial activities: some considerations to achieve security, justice and freedom, ERA Forum 2010, S. 233 ff. Bogdandy, Armin von/Arndt, Felix: Die Zusammenarbeit der Finanzverwaltungen in der Europäischen Union, EWS 2000, S. 1 ff. Böse, Martin: Strafen und Sanktionen im europäischen Gemeinschaftsrecht, Köln u. a. 1996 –
Die Zuständigkeit der Europäischen Gemeinschaft für das Strafrecht – Zugleich Besprechung von EuGH, Urteil vom 13.9.2005, GA 2006, S. 211 ff.
–
Der Grundsatz der Verfügbarkeit von Informationen in der strafrechtlichen Zusammenarbeit der EU, EuZ 2007, S. 62 ff.
–
Der Grundsatz der Verfügbarkeit von Informationen und der strafrechtlichen Zusammenarbeit der Europäischen Union, Göttingen 2007, Bonner Rechtswissenschaftliche Abhandlungen Band 2
Bossong, Raphael: The politics of subterfuge and EU JHA governance capacity, LSE Challenge Working Paper (7) 2007 Braum, Stefan: Europäischer Datenschutz und europäisches Strafrecht, KritV 2008, S. 82 ff. Brewer, Paul/Ley, Barbara: Media Use and Public Perception of DNA Evidence, Science Communication (32) 2010, S. 93 ff. Britz, Gabriele: Europäisierung des grundrechtlichen Datenschutzes? EuGRZ 2009, S. 1 ff. Bubnoff., Eckhart von: Institutionelle Kriminalitätsbekämpfung in der EU. Schritte auf dem Weg zu einem europäischen Ermittlungs- und Strafverfolgungsraum, ZEuS 2002, S. 185 ff. Bühler, Margit: Einschränkung von Grundrechten nach der Europäischen Grundrechtecharta, Berlin 2005 Bundesministerium für Inneres der Republik Österreich: Presseunterlage „Aus dem Inneren“: Internationale Schwerpunkte. Fachgespräch mit Innenministerin Maria Fekter am 19. März, 2009 hURL: http://www.bmi.gv.at/cms/cs03documentsbmi/648.pdfi Bunyan, Tony: Just over the horizon – the surveillance society and the state in the EU, Race & Class (51) 2010, S. 1 ff. Burgess, Mark: The Prüm Process: playing or abusing the system? European Security Review (34) 2007, S. 8 ff. Busch, Heiner: Freier Binnenmarkt für Polizeidaten – EU ermöglicht gemeinschaftsweiten Zugriff auf DNA-Informationen, in: Müller-Heidelberg/Finckh/Steven/Kühn/Micksch/Kaleck/Kutscha/ Gössner/Engelfried (Hrsg.): Grundrechte-Report 2008. Zur Lage der Bürger- und Menschenrecht in Deutschland, Frankfurt a. M. 2008, S. 38 ff. Calliess, Christian/Ruffert, Matthias (Hrsg.): Verfassung der Europäischen Union. Kommentar der Grundlagenbestimmungen (Teil I), Erste Auflage, München 2006 –
(Hrsg.): Kommentar des Vertrages über die Europäische Union und des Vertrages zur Gründung der Europäischen Gemeinschaft – EUV/EGV. Das Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta. Kommentar, 3. Auflage, München 2007
Literaturverzeichnis
–
173
(Hrsg.): Kommentar des Vertrages über die Europäische Union und des Vertrages zur Gründung der Europäischen Gemeinschaft – EUV/AEUV. Das Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta. Kommentar, 4. Auflage, München 2011 Conway, Gerard: Judicial Interpretation and the Third Pillar, Eur.J.CrimeCrL.Cr.J. (13) 2005 Nr. 2, S. 255 ff. Di Fabio, Udo: Die „Dritte Säule“ der Union. Rechtsgrundlagen und Perspektiven der europäischen Polizei- und Justizzusammenarbeit, DÖV 1997, S. 89 ff. Durnal, Evan W.: Crime Scene Investigation (as seen on TV), Forensic Science International 2009, S. 1 ff. Eckes, Christina: The legal framework of the European Union’s counter-terrorist policies: full of good intentions? in: Eckes/Konstadinidesee (Hrsg.): Crime Within the Area of Freedom, Security and Justice: A European Public Order, Cambridge (UK), Cambridge University Press 2011. – Kapitel 5, S. 127 ff. Ehlers, Dirk (Hrsg.): Europäische Grundrechte und Grundfreiheiten, 3. Auflage, Berlin 2009 Eisner, Carolin: Die Schrankenregelung der Grundrechtecharta der Europäischen Union: Gefahr oder Fortschritt für den Grundrechtsschutz in Europa? Baden-Baden 2005 Everling, Ulrich: Folgerungen aus dem Amsterdamer Vertrag für die Einheit der Europäischen Union und Gemeinschaften. Zusammenfassende Bewertung der Tagungsbeiträge, in: Bogdandy/ Ehlermann (Hrsg.): Konsolidierung und Kohärenz des Primärrechts nach Amsterdam, BadenBaden 1998, Europarecht: Beiheft 2, S. 185 ff. – Von den Europäischen Gemeinschaften zur Europäischen Union. Durch Konvergenz zur Kohärenz. in: Classen/Dittmann/Fechner/Gassner/Kilian (Hrsg.): „In einem vereinten Europa dem Frieden der Welt zu dienen . . . “. Liber amicorum Thomas Oppermann, Berlin 2001, S. 163 ff. Fassbender, Bardo: Der einheitliche Gesetzesvorbehalt der EU-Grundrechtecharta und seine Bedeutung für die deutsche Rechtsordnung, NVwZ 2010, S. 1049 ff. Fawzy, Oliver M.: Die Errichtung von Eurojust – Zwischen Funktionalität und Rechtsstaatlichkeit. Unter Berücksichtigung der Vorschläge des Europäischen Verfassungskonvents, Baden-Baden 2005 Filopoulos, Panagiotis: Europarecht und nationales Strafrecht – Eine rechtsvergleichende Untersuchung des deutschen und des griechischen Strafrechts unter dem Blickwinkel des Europäischen Gemeinschaftsrechts, Herzogenrath 2004 Fischer, Klemens: Der Europäische Verfassungsvertrag: Texte und Kommentar, Erste Auflage, Baden-Baden 2005 Fischer-Appelt, Dorothee: Agenturen der Europäischen Gemeinschaft? Eine Studie zu Rechtsproblemen, Legitimation und Kontrolle europäischer Agenturen mit interdisziplinären und rechtsvergleichenden Bezügen, Berlin 1999 Fletcher, Maria/Lööf, Robin/Gilmore, Bill: EU criminal law and justice, Cheltenham (UK), Edward Elgar Publishing 2008 Frenz, Walter: Handbuch Europarecht. Band 4: Europäische Grundfreiheiten, 1. Auflage, Berlin u. a. 2009 – Handbuch Europarecht. Band 5: Wirkungen und Rechtsschutz, 1. Auflage, Berlin u. a. 2010 – Subsidiaritätsprinzip und -klage nach dem Vertrag von Lissabon, Jura 2010, S. 641 ff. Fromm, Ingo E.: Urteilsanmerkung EuGH, Urt. v. 23.10.2007 – C-440/05, ZIS 2008, S. 168 ff. Frowein, Jochen Abraham/Krisch, Nico: Der Rechtsschutz gegen Europol, JZ 1998, S. 589 ff. Fuchs-Kittowski, Klaus: Wissens-Ko-Produktion: Verarbeitung, Verteilung und Entstehung von Informationen in kreativ-lernenden Organisationen, in: Fuchs-Kittowski/Parthey/Umstätter/WagnerDöbler (Hrsg.): Organisationsinformatik und Digitale Bibliothek in der Wissenschaft: Wissenschaftsforschung Jahrbuch 2000, Berlin 2001, S. 9 ff.
174
Literaturverzeichnis
Gärditz, Klaus F.: Prävention und Repression als Kategorien im Recht der Europäischen Union, in: Wolter/Schenke/Hilger/Ruthig/Zöller (Hrsg.): Alternativentwurf Europol und europäischer Datenschutz, Heidelberg 2008, S. 192 ff. Geiger, Rudolf: EUV / EGV. Vertrag über die Europäische Union und Vertrag zur Gründung der Europäischen Gemeinschaft. Kurzkommentar, 4. Auflage, München 2004 Geiger, Rudolf/Khan, Daniel-Erasmus/Kotzur, Markus (Hrsg.): EUV/AEUV. Vertrag über die Europäische Union und Vertrag über die Arbeitsweise der Europäischen Union, 5. Auflage, München 2010 Geyer, Florian: Taking Stock: Databases and Systems of Information Exchange in the Area of Freedom, Security and Justice, CEPS Challenge Programme Research Paper No. 9 Mai 2008 Grabenwarter, Christoph: Die Menschenrechtskonvention und Grundrechte-Charta in der europäischen Verfassungsentwicklung, in: Cremer/Giegerich/Richter/Zimmermann (Hrsg.): Tradition und Weltoffenheit des Rechts. Festschrift für Helmut Steinberger. Berlin 2002, S. 1129 ff. Grabitz, Eberhard/Hilf, Meinhard/Nettesheim, Martin (Hrsg.): Das Recht der Europäischen Union, Band I: EUV/EGV, 41. Auflage, München 2008 – (Hrsg.): Das Recht der Europäischen Union, Band I: EUV/AEUV, 42. Auflage, München 2010 – (Hrsg.): Das Recht der Europäischen Union, Band I: EUV/AEUV, 43. Auflage, München 2011 Griese, Antonia: Die Finanzierung der Europäischen Union – Bestandaufnahme und Ausblick, EuR 1998, S. 462 ff. Groeben, Hans von der/Schwarze, Jürgen (Hrsg.): Kommentar zum Vertrag über die Europäische Union und zur Gründung der Europäischen Gemeinschaft, 6. Auflage, Baden-Baden 2003–2004 Guild, Elspeth: Merging security from the two-level game: Inserting the treaty of Prüm into EU Law? CEPS Policy brief Nr. 124, 2007 Guild, Elspeth/Geyer, Florian: Getting local: Schengen, Prüm and the dancing procession of Echternach. Three paces forward and two back for EU police and judicial cooperation in criminal matters, JECL 2006, S. 61 ff. Haak, Stefan: Individuelles Einbezogensein und europarechtliche Ordnung, EuR 2009 Nr. 2h, S. 282 ff. Haratsch, Andreas/Koenig, Christian/Pechstein, Matthias: Europarecht, 6. Auflage, Tübingen 2009 Harings, Lothar/Classen, Kai-Dieter: Europäische Informationsverwaltung durch behördliche Risikoanalyse. Regelungs- und Rechtsschutzdefizite beim internationalen Informationsaustausch am Beispiel des AEO-Informationssystems – zugleich Erwägungen zu einem unternehmensbezogenen Datenschutz, EuZW 2008, S. 295 ff. Hatje, Armin: Informationsaustausch und Datenschutz in der Europäischen Union. Zur informationellen Vernetzung der Verwaltungen im Zeichen der europäischen Integration, in: Magiera/ Sommermann (Hrsg.): Verwaltung in der Europäischen Union: Vorträge und Diskussionsbeiträge auf dem ersten Speyerer Europa-Forum vom 10. bis 12. April 2000 an der deutschen Hochschule für Verwaltungswissenschaften Speyer, Berlin 2001, Schriften zum europäischen Recht Band 76, S. 193 ff. – Informationsaustausch und Datenschutz in der Europäischen Union – primärrechtliche Grundlagen, Grundzüge und Probleme des aktuellen Sekundärrechts, in: Hessischer Datenschutzbeauftragter (Hrsg.): Datenschutz in Deutschland nach dem Vertrag von Lissabon, Wiesbaden Juni 2009, Beiträge zum Datenschutz, S. 23 ff. Hecker, Bernd: Europäisches Strafrecht, 2. Auflage, Heidelberg 2007 – Europäisches Strafrecht, 4. Auflage, Heidelberg 2012 Heger, Martin: Perspektiven des Europäischen Strafrechts nach dem Vertrag von Lissabon. Eine Durchsicht des (wohl) kommenden EU-Primärrechts vor dem Hintergrund des Lissabon-Urteils des BVerfG vom 30.6.2009, ZIS 2009, S. 406 ff.
Literaturverzeichnis
175
Heintschel-Heinegg, Bernd von (Hrsg.): Beck’scher Onlinekommentar StGB, 22. Auflage, München 2013 Heitzer, Anne: Punitive Sanktionen im Europäischen Gemeinschaftsrecht, Karlsruhe 1997 Hellmann, Vanessa: Der Vertrag von Lissabon. Vom Verfassungsvertrag zur Änderung der bestehenden Verträge – Einführung mit Synopse und Übersichten, Berlin/Heidelberg 2009 Hempel, Leon/Carius, Michael/Ilten, Carla: Exchange of information and data between law enforcement agencies within the European Union. Discussion paper Nr. 29/09, Berlin 2009 Herdegen, Matthias: Europarecht, 10. Auflage, München 2008 Hert, Paul de/Riehle, Cornelia: Data protection in the area of freedom, security and justice. A short introduction and many questions left unanswered, ERA Forum 2010, S. 159 ff. Heselhaus, Sebastian/Nowak, Carsten (Hrsg.): Handbuch der Europäischen Grundrechte, München 2006 Heussner, Kristina: Informationssysteme im Europäischen Verwaltungsverbund, Tübingen 2007 Hijmans, Hielke: Recent developments in data protection at European Union level, ERA Forum 2010, S. 219 ff. Hijmans, Hielke/Scirocco, Alfonso: Shortcomings in EU data protection in the third and the second pillars. Can the Lisbon Treaty be expected to help? CML Rev. (46) 2009, S. 1485 ff. Hilf, Meinhard: Die Schranken der EU-Grundrechte, in: Merten/Papier (Hrsg.): Handbuch der Grundrechte in Deutschland und Europa, Band VI/1: Europäische und universelle Grund- und Menschenrechte, Teilband 1, 1. Auflage, Heidelberg u. a. 2010. – Kapitel § 164, S. 1157 ff. Hoeren, Thomas: Information als Gegenstand des Rechtsverkehrs – Prolegomena zu einer Theorie des Informationsrechts, MMR-Beilage 1998, S. 6 ff. – Zur Einführung: Informationsrecht, JuS 2002, S. 947 ff. Hoffmann-Holland, Klaus: Stellungnahme zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Innenausschusses des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, 2011 Hoffmann-Riem, Wolfgang/Schmidt-Aßmann, Eberhard/Voßkuhle, Andreas (Hrsg.): Grundlagen des Verwaltungsrechts, Band II: Informationsordnung, Verwaltungsverfahren, Handlungsformen, München 2008 Hofmann, Rainer: Wie viel Flexibilität für welches Europa? Gedanken zur künftigen Entwicklung der europäischen Integration, EuR 1999, S. 713 ff. House of Lords: Prüm: an effective weapon against terrorism and crime? 18th Report of session 2006-07. London (UK), European Union Committee 2007 Hummer, Waldemar: Der Vertrag von Prüm – „Schengen III“? EuR 2007, S. 517 ff. Jarass, Hans D.: EU-Grundrechte. Ein Studien- und Handbuch, 1. Auflage, München 2005 – Charta der Grundrechte der Europäischen Union unter Einbeziehung der vom EuGH entwickelten Grundrechte und der Grundrechtsregelungen der Verträge. Kommentar, 2. Auflage, München 2013 Jokisch, Jens: Gemeinschaftsrecht und Strafverfahren – Die Überlagerung des deutschen Strafprozessrechts durch das Europäische Gemeinschaftsrecht, dargestellt anhand ausgewählter Problemfälle, Berlin 2000 Kaiafa-Gbandi, Maria: Das Corpus Juris und die Typisierung des Strafphänomens im Bereich der Europäischen Union, KritV 1999, S. 162 ffk Kainer, Friedemann: Der Raum der Freiheit, der Sicherheit und des Rechts nach dem Verfassungsvertrag, in: Jopp/Matl (Hrsg.): Der Vertrag über ein Verfassung von Europa. Analysen zur Konstitutionalisierung der EU, 1. Auflage, Baden-Baden 2005, S. 283 ff.
176
Literaturverzeichnis
Kierkegaard, Sylvia: Security and DNA data transfer within the EU. The Prüm decision – An uncontrolled fishing expedition in “Big Brother” Europe, Computer Law & Security Report (24) 2008, S. 243 ff. – Explanatory notes: From Prüm to the EU, Presentation at the Computers, Privacy and Data Protection conference. Panel Session on Europol, Eurojust, Prüm and Beyond: New Developments in Justice and Home Affairs. Brüssel (BE) 16.–17. Januar 2009 – DNA Data Exchange: Germany Flexed Its Muscle, in: Gutwirth/Poullet/De Hert (Hrsg.): Data Protection in a Profiled World, Dordrecht (NL), Springer Netherlands 2010. – Kapitel 13, S. 227 ff. Kietz, Daniela/Maurer, Andreas: Von Schengen nach Prüm. Sogwirkungen verstärkter Kooperation und Anzeichen der Fragmentierung in der EU. Diskussionspapier der Forschungsgruppe EU-Integration, Stiftung für Wissenschaft und Politik-Aktuell, Berlin 2006 hURL: http: //www.swp-berlin.org/fileadmin/contents/products/aktuell/Akt24_06_Ktz_Mrr_Ks.pdfi –
Fragmentierung und Entdemokratisierung der europäischen Justiz- und Innenpolitik? Folgen der Prümer Vertragsavantgarde, in: Möllers/Ooyen (Hrsg.): Jahrbuch Öffentliche Sicherheit 2006/2007, Frankfurt a. M. 2007, S. 439 ff. Kietz, Daniele/Parkes, Roderick: Justiz- und Innenpolitik nach dem Lissabonner Vertrag. Diskussionspapier der Forschungsgruppe EU-Integration, Stiftung für Wissenschaft und Politik-Aktuell, Berlin 2008 hURL: http://www.swp-berlin.org/fileadmin/contents/products/arbeitspapiere/ justiz_innen_KS_2.pdfi Kilian, Werner/Wind, Martin: Vernetzte Verwaltung und zwischenbehördliche Beziehungen. VerwArch (88) 1997, S. 499 ff. Kilian, Wolfgang/Heusen, Benno (Hrsg.): Computerrechts-Handbuch: Informationstechnologie in der Rechts- und Wirtschaftspraxis, 31. Auflage, München 2012 Kirchhof, Paul: Der deutsche Staat im Prozeß der europäischen Integration, in: Isensee/Kirchhof (Hrsg.): Handbuch des Staatsrechts der Bundesrepublik Deutschland. Band VII: Normativität und Schutz der Verfassung – Internationale Beziehungen, 1. Auflage, Heidelberg 1992, S. 855 ff. Körffer, Barbara: Stellungnahme des ULD zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union “, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, 2011 Kröger, Nicoletta: Europol. Europäisches Polizeiamt und Individualrechtsschutz. Vereinbarkeit mit Grundgesetz und Europäischer Menschenrechtskonvention? 1. Auflage, Frankfurt a. M. 2004 Kühling, Jürgen/Seidel, Christian/Sivridis, Anastasios: Datenschutzrecht, 1. Auflage, Frankfurt a. M. 2008 – Datenschutzrecht, 2. Auflage, Heidelberg u. a. 2011 Lachmayer, Konrad/Bauer, Lukas (Hrsg.): Praxiswörterbuch Europarecht, Wien 2008 Lemmens, Paul: The Relation between the Charta of Fundamental Rights of the European Union and the European Convention of Human Rights – Substantive Aspects, MJ (8) 2001, S. 49 ff. Lenz, Carl Otto/Borchardt, Klaus-Dieter (Hrsg.): Kommentar zu dem Vertrag zur Gründung der Europäischen Gemeinschaften, 3. Auflage, Köln 2003 – (Hrsg.): EU-Verträge. Kommentar nach dem Vertrag von Lissabon, 5. Auflage, Köln 2010 Lieb, Julia/Maurer, Andreas (Hrsg.): Der Vertrag von Lissabon. Kurzkommentar, 3. Auflage, Berlin, Diskussionspapier der Forschungsgruppe EU-Integration, Stiftung für Wissenschaft und PolitikAktuell 2009 hURL: http://www.swp-berlin.org/common/get_document.php?asset_id=4861i Lisken, Hans/Denninger, Erhard (Hrsg.): Handbuch des Polizeirechts: Gefahrenabwehr, Strafverfolgung, Rechtsschutz. 5. Auflage, München 2012
Literaturverzeichnis
177
Lorenzmeier, Stefan: Der Rahmenbeschluss als Handlungsform der Europäischen Union und seine Rechtswirkung, ZIS 2006, S. 576 ff. Lück, Michael: Die Gemeinschaftstreue als allgemeines Rechtsprinzip im Recht der Europäischen Gemeinschaft: Ein Vergleich der Bundestreue im Verfassungsrecht der Bundesrepublik Deutschland, Baden-Baden 1992 Luhman, Niklas; Trust/(1979) (Hrsg.): Trust and Power, London (UK), John Wiley 1979 Luif, Paul: The Treaty of Prüm: A replay of Schengen? Vortrag im Rahmen der Tenth Biennal International Conference, in der Arbeitsgruppe „Subgroups of member states in the EU’s external and internal security: Does flexibility work?“. European Union Studies Association. Montreal (CA) 17.–19. Mai 2007 hURL: http://www.eu-consent.net/library/deliverables/D38c.pdfi Mansdörfer, Marco: Das europäische Strafrecht nach dem Vertrag von Lissabon oder Europäisierung des Strafrechts unter nationalstaatlicher Mitverantwortung, HRRS 2010, S. 11 ff. Martinez, Jose: Stellungnahme zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, 2011 Mathiesen, Thomas: Lex Vigilatoria – Towards a Control System without a State? in: Armstrong/ McAra (Hrsg.): Perspectives on Punishment: The Contours of Control, Oxford, Oxford University Press 2006, S. 119 ff. Mayer, Franz C.: Die drei Dimensionen der europäischen Kompetenzdebatte, ZaöRV (61) 2001, S. 577 ff. – Der Vertrag von Lissabon und die Grundrechte, EuR (Beiheft 1) 2009, S. 87 ff. – Der Vertrag von Lissabon im Überblick, JuS 2010, S. 189 ff. McCartney, Carole/Wilson, Tim/Williams, Robin: Transnational Exchange of Forensic DNA: Viability, Legitimacy, and Acceptability, EurJCrimPolicyRes (17) 2011, S. 305 ff. Mehrings, Josef: Der Rechtsschutz computergestützter Fachinformationen. Unter besonderer Berücksichtigung von Datenbanken, Baden-Baden 1990 Meyer, Frank: Der Grundsatz der Verfügbarkeit, NStZ 2008, S. 188 ff. – Das Strafrecht im Raum der Freiheit, der Sicherheit und des Rechts, EuR 2011, S. 169 ff. Meyer, Jürgen (Hrsg.): Charta der Grundrechte der Europäischen Union, 2. Auflage, Baden-Baden 2010 – (Hrsg.): Charta der Grundrechte der Europäischen Union, 3. Auflage, Baden-Baden 2011 Michael, Katina/Mahy, Peter: An Interview with Mr. Peter Mahy of Howells LLP who represented S and Marper at the European Court of Human Rights, in: Bronitt/Harfield/Michael (Hrsg.): The Social Implications of Covert Policing, Erste Auflage, Wollongong, NSW, Australia, University of Wollongong 2010 hURL: http://works.bepress.com/kmichael/229i. – Kapitel 14, S. 153 ff. Mitsilegas, Valsamis: Databases in the Area of Freedom, Security and Justice: Lessons for the Centralisation of Records and their maximum Exchange, in: Stefanou/Xanthaki (Hrsg.): Towards a European Criminal Record, Cambridge (UK), Cambridge University Press 2008. – Kapitel 16, S. 311 ff. – Police Co-operation: What are the main obstacles to police co-operation in the EU? in: Bigo/Tsoukala (Hrsg.): Controlling security, Paris (FR), L’Harmattan 2008, Cultures & conflits, S. 7 ff. Mock, William B.T./Demuro, Gianmario/Bifulco, Raffaele/Cartabia, Marta/Celotto, Alfonso (Hrsg.): Human Rights in Europe: Commentary on the Charter of Fundamental Rights of the European Union, Durham (North Carolina), Carolina Academic Press 2010 Müller-Graff, Peter-Christian: Der Raum der Freiheit, Sicherheit und des Rechts in der Lissabonner Reform, EuR (Beiheft 1) 2009, S. 105 ff.
178
–
Literaturverzeichnis
(Hrsg.): Europäische Zusammenarbeit in den Bereichen Justiz und Inneres: der dritte Pfeiler der Europäischen Union, Baden-Baden 1996 Müller-Gugenberger, Christian/Bieneck, Klaus (Hrsg.): Wirtschaftsstrafrecht: Handbuch des Wirtschaftsstraf- und -ordnungswidrigkeitenrechts, 5. Auflage, Köln 2011 Niemeier, Michael/Zerbst, Petra: Der Vertrag von Prüm – vertiefte grenzüberschreitende Zusammenarbeit zur Kriminalitätsbekämpfung in der EU. Die Überführung des Vertrags von Prüm in den Rechtsrahmen der EU, ERA Forum (8) 2007, S. 535 ff. Obwexer, Walter: Der Beitritt der EU zur EMRK: Rechtsgrundlagen, Rechtsfragen und Rechtsfolgen, EuR 2012, S. 115 ff. Ohler, Christoph: Verfassungsrechtliche Fragen der europäischen Amtshilfe, in: Leible (Hrsg.): Die Umsetzung der Dienstleistungsrichtlinie – Chancen und Risiken für Deutschland, Jena 2008, S. 157 ff. Oppermann, Thomas/Claasen, Claus Dieter/Nettesheim, Martin: Europarecht, 4. Auflage, München 2009 Pache, Eckhard: Zur Sanktionskompetenz der Europäischen Wirtschaftsgemeinschaft, EuR 1993, S. 173 ff. – Die EU – Ein Raum der Freiheit, der Sicherheit und des Rechts? in: Pache (Hrsg.): Die Europäische Union – Ein Raum der Freiheit, der Sicherheit und des Rechts? Erste Auflage, Baden-Baden 2005, Ius Europaeum Band 35, S. 9 ff. Papayannis, Donatos: Die polizeiliche Zusammenarbeit und der Vertrag von Prüm, ZEuS 2008, S. 219 ff. Pechstein, Matthias/Koenig, Christian: Die Europäische Union, 3. Auflage, Tübingen 2000 Philippart, Eric/Edwards, Geoffrey: The Provisions on Closer Co-operation in the Treaty of Amsterdam. The Politics of Flexibility in the European Union, JCMS (37) 1999, S. 87 ff. Pietsch, Jörg: Das Schrankenregime der EU-Grundrechtecharta, Baden-Baden 2006 Prainsack, Barbara/Toom, Victor: The Prüm Regime – Situated Dis/Empowerment in Transnational DNA Profile Exchange, Brit.J.Criminol. (50) 2010 Nr. 6, S. 1117 ff. Putzke, Holm: Schriftliche Stellungnahme zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, 2011 Reding, Viviane: Data protection in the EU – Challenges ahead, eucrim 2010, S. 25 ff. Rengeling, Hans-Werner/Szczekalla, Peter: Grundrechte in der Europäischen Union. Charta der Grundrechte und Allgemeine Rechtsgrundsätze. 1. Auflage, Köln u. a. 2004 Roggan, Frederik/Kutscha, Martin (Hrsg.): Handbuch zum Recht der Inneren Sicherheit, 2. Auflage, Berlin 2006 Ruffert, Matthias: Die unionsverfassungsrechtlichen Grundlagen des Raums der Freiheit, der Sicherheit und des Rechts, in: Pache (Hrsg.): Die Europäische Union – Ein Raum der Freiheit, der Sicherheit und des Rechts? 1. Auflage, Baden-Baden 2005, S. 14 ff. – Von der Europäisierung des Verwaltungsrechts zum Europäischen Verwaltungsverbund, DÖV 2007, S. 761 ff. Satzger, Helmut: Die Europäisierung des Strafrechts: Eine Untersuchung zum Einfluss des Europäischen Gemeinschaftsrechts auf das deutsche Strafrecht, Köln 2001 – Internationales und Europäisches Strafrecht: Strafanwendungsrecht – Europäisches Straf- und Strafverfahrensrecht – Völkerstrafrecht, 3. Auflage, Baden-Baden 2009 Saurer, Johannes: Die Ausweitung sicherheitsrechtlicher Regelungsansprüche im Kontext der Terrorismusbekämpfung, NVwZ 2005, S. 275 ff.
Literaturverzeichnis
179
Schaar, Peter: Datenaustausch und Datenschutz im Vertrag von Prüm, DuD (30) 2006, S. 691 ff. –
Aktuelle Entwicklungen im europäischen und internationalen Datenschutz unter besonderer Berücksichtigung des transatlantischen Dialogs. Vortrag im Rahmen des Europäischen Datenschutztages. Wien (AT) 30. Januar, 2009 hURL: www.bfdi.bund.de/cae/servlet/contentblob/417290/ publicationFile/24890/30012009_RedeSchaarEuDSTagWien.pdfi
–
Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum „Entwurf eines Gesetzes über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union“, BT-Drucksache 17/5096 im Zusammenhang mit der öffentlichen Anhörung des Deutschen Bundestages – Innenausschuss – Berlin, 19. September, 2011
Schenke, Wolf-Rüdiger: Polizei- und Ordnungsrecht, 7. Auflage, Heidelberg 2011 Schmidt-Aßmann, Eberhard: Der Europäische Verwaltungsverbund und die Rolle des Europäischen Verwaltungsrechts, in: Schmidt-Aßmann/Schöndorf-Haubold (Hrsg.): Der Europäische Verwaltungsverbund: Formen und Verfahren der Verwaltungszusammenarbeit in der EU, Tübingen 2005, S. 1 ff. Schmidt-Assmann, Eberhard/Schöndorf-Haubold, Bettina (Hrsg.): Der Europäische Verwaltungsverbund, Tübingen 2005 Schmitz, Thomas: Die EU-Grundrechtecharta aus grundrechtsdogmatischer und grundrechtstheoretischer Sicht, JZ 2001, S. 833 ff. Schnapauff, Klaus-Dieter: Der Amsterdamer Vertrag – Neuregelung der Zusammenarbeit im Bereich der Inneren Sicherheit, ZFIS 1998, S. 16 ff. Schneider, Peter M.: Expansion of the European standard set of DNA database loci – the current situation, Profiles in DNA 2009, S. 6 f. Schneiders, Benedikt: Die Grundrechte der EU und die EMRK. Das Verhältnis zwischen ungeschriebenen Grundrechten, Grundrechtecharta und Europäischer Menschenrechtskonvention, 1. Auflage, Baden-Baden 2010 Schomburg, Wolfgang/Lagodny, Otto/Gleß, Sabine/Hackner, Thomas (Hrsg.): Internationale Rechtshilfe in Strafsachen, 5. Auflage, München 2012 Schulze, Reiner/Zuleeg, Manfred/Kadelbach, Stefan (Hrsg.): Europarecht. Handbuch für die deutsche Rechtspraxis, 2. Auflage, Baden-Baden 2010 Schwarze, Jürgen: Europäisches Verwaltungsrecht – Entstehung und Entwicklung im Rahmen der Europäischen Gemeinschaft, 2. Auflage, Baden-Baden 2005 –
Der Reformvertrag von Lissabon – Wesentliche Elemente des Reformvertrages, EuR (Beiheft 1) 2009, S. 9 ff.
Schwarze, Jürgen/Becker, Ulrich/Hatje, Armin/Schoo, Johann (Hrsg.): EU-Kommentar, 3. Auflage, Baden-Baden 2012 Schwarzenegger, Christian: Die internationale Harmonisierung des Computer- und Internetstrafrechts durch die Convention on Cybercrime vom 23. November 2001. Am Beispiel des Hackings, der unrechtmäßigen Datenbeschaffung und der Verletzung des Fernmeldegeheimnisses, in: Donatsch/Forster/Schwarzenegger (Hrsg.): Strafrecht, Strafprozessrecht und Menschenrechte. Festschrift für Stefan Trechsel zum 65. Geburtstag. Zürich (CH), Schulthess 2002, S. 305 ff. Schweitzer, Michael/Hummer, Waldemar/Obwexer, Walter: Europarecht. Das Recht der Europäischen Union, Wien (AT), Manz 2007 Sieber, Ulrich/Brüner, Franz-Hermann/Satzger, Helmut/Heintschel-Heinegg, Bernd von (Hrsg.): Europäisches Strafrecht, 1. Auflage, Baden-Baden 2011 Siemen, Birte: Datenschutz als europäisches Grundrecht, Berlin 2006 Simitis, Spiros (Hrsg.): Bundesdatenschutzgesetz, 7. Auflage, Baden-Baden 2011
180
Literaturverzeichnis
Stefanou, Constantin: The European Criminal Record: Political Parameters, in: Stefanou/Xanthaki (Hrsg.): Towards a European Criminal Record, Cambridge (UK), Cambridge University Press 2008. – Kapitel 3, S. 59 ff. Stentzel, Rainer: Datenschutz zwischen Utopie und Anpassung. Die politische Debatte um den polizeilichen Datenaustausch mit den USA, ZfAS 2010, S. 137 ff. Streinz, Rudolf (Hrsg.): EUV/EGV: Vertrag über die Europäische Union und Vertrag zur Gründung der Europäischen Gemeinschaft, 1. Auflage, München 2003 –
Europarecht, 7. Auflage, Heidelberg 2005
–
(Hrsg.): EUV/AEUV. Vertrag über die Europäische Union und Vertrag über die Arbeitsweise der Europäischen Union. 2. Auflage, München 2012
Streinz, Rudolf/Ohler, Christoph/Herrmann, Christoph/Kruis, Tobias: Der Vertrag von Lissabon zur Reform der EU. Einführung mit Synopse, 2. Auflage, München 2008 Tettinger, Peter J./Stern, Klaus (Hrsg.): Kölner Gemeinschaftskommentar zur Europäischen Grundrechte-Charta, 1. Auflage, München 2006 Töpfer, Eric: Mobile Daten – begrenzte Kontrolle. Auf dem Weg zum europäischen Informationsverbund, CILIP (91) 2008, S. 19 ff. –
Netz mit Webfehlern. Europas DNA-Datenbankenverbund, CILIP (97) 2010, S. 80 ff.
–
EU: Schleppende Vernetzung, GID 2011 Nr. 204, S. 13 ff.
–
„Network with errors“: Europe’s emerging web of DNA databases, Statewatch Journal (21) 2011, S. 1 ff.
Trauner, Florian: Increased Differentation as an Engine for Integration? Studying Justice and Home Affairs, in: Falkner (Hrsg.): The EU’s Decision Traps: Comparing Policies, Oxford (UK), Oxford University Press 2011. – Kapitel 9, S. 145 ff. Triantafyllou, Dimitris: The European Charter of Fundamental Rights and the „Rule of Law“: Restricting Fundamental Rights by Reference, CMLR (39) 2002, S. 53 ff. Tulkens, Françoise: La protection des données et la Convention européenne des droits de l’homme. Entre effectivité et complementarité, in: Proceedings of the European Conference on Data Protection on Council of Europe Convention 108 for the protection of individuals with regard to automatic processing of personal data: present and future, Warsaw (Poland), 19–20 November 2001, Strassbourg, Counsel of Europe 2001 hURL: http://www.coe.int/t/dghl/standardsetting/ dataprotection/Conferences/DP(2001)Proceedings\_Warsaw\_EN.pdfi, S. 163 ff. Uerpmann-Wittzack, Robert/Edenharter, Andrea: Subsidiaritätsklage als parlamentarisches Minderheitsrecht? EuR 2009, S. 313 ff. Vedder, Christoph/Heintschel von Heinegg, Wolff (Hrsg.): Europäisches Unionsrecht. EUV/AEUV/ Grundrechte-Charta. Handkommentar. 1. Auflage, Baden-Baden 2012 Vermeulen, Gert/Beken, Tom Vander/Puyenbroek, Laurens Van/Malderen, Sara Van: Availability of law enforcement information in the European Union. Between mutual recognition and equivalent right of access, Antwerpen (BE), Maklu Publishers 2005 Vogler, Theo/Wilkitzki, Peter: Gesetz über die internationale Rechtshilfe in Strafsachen (IRG), Heidelberg 2011 Walsch, Christopher: Europeanization and Democracy: Negotiating the Prüm Treaty and the Schengen III Agreement, Politiˇcka misao (XLV) 2008, S. 81 ff. Weichert, Thilo: Wo liegt Prüm? Der polizeiliche Datenaustausch in der EU bekommt eine neue Dimension. hURL: https://www.datenschutzzentrum.de/polizei/060329-pruem.htmi Weißer, Bettina: Die Wirkung von EU-Rahmenbeschlüssen auf das mitgliedstaatliche Recht. Zugleich Besprechung von EuGH EUZW 2005, 433 („Pupino“), ZIS 2006, S. 562 ff. Wettner, Florian: Amtshilfe im Europäischen Verwaltungsrecht, Tübingen 2005
Literaturverzeichnis
181
Williams, Robin/Johnson, Paul: Genetic policing. The use of DNA in criminal investigation, Oxford (UK), Willan 2008 Wolter, Jürgen (Hrsg.): Systematischer Kommentar zur Strafprozeßordnung: mit GVG und EMRK, Band X: EMRK, 4. Auflage, Köln 2012 Ziegenhorn, Gero: Der Einfluss der EMRK im Recht der EU-Grundrechtecharta. Genuin chartarechtlicher Grundrechtsschutz gemäß Art. 52 Abs. 3 GRCh, Berlin 2009 Zöller, Mark A.: Informationssysteme und Vorfeldmaßnahmen von Polizei und Staatsanwaltschaft und Nachrichtendiensten. Zur Vernetzung von Strafverfolgung und Kriminalitätsverhütung im Zeitalter von multimedialer Kommunikation und Persönlichkeitsschutz, Heidelberg 2002 – Europäische Strafgesetzgebung, ZIS 2009, S. 168 ff. – Terrorismusstrafrecht: Ein Handbuch, Heidelberg 2009 – Der Austausch von Strafverfolgungsdaten zwischen den Mitgliedstaaten der Europäischen Union, ZIS 2011, S. 64 ff.
Stichwortverzeichnis Amtshilfe 58, 59, 77, 94, 108 Annexkompetenz 31, 32 Art.29-Datenschutzgruppe 125, 153 Auskunftsanspruch 54–55, 82, 93, 103, 118, 140, 146 Beinahetreffer 148 Berichtigungssanspruch 55, 147, 166 Bestimmtheitsgebot 44, 123 Binnenmarktakzessorietät 33 crimeintelligence operations 98, 101 daktyloskopische Daten 76, 114, 131, 135, 137 Datenaustausch 29, 75 – automatisierter 146 – direkter 75 – grenzüberschreitender 93, 96, 100, 119, 138, 160 – Hindernisse 148 – mit Drittstaaten 118, 121–122, 143 – Modelle 69–109 – Nichtverdächtiger 150 – polizeilicher 30, 104, 108 – Spontanaustausch 97 – transatlantischer 160–162 Datenbank – Begriff 69 – dezentrale 71–73 – Kompatibilität 70, 153 – Offline-Datenbank 69 – Online-Datenbank 69 – zentrale 71 Datenbegriff 18, 20–22 – harddata 124, 147 – softdata 124, 147 Datenpoolmodell 74–94 Datensammlung 29, 69, 151 Datenschutz – Art. 8 EMRK 42–43, 55 – Art. 8 GRC 43 – Art. 16 Abs. 1 AEUV 37–42
– Grundrechte 36–56 – Mehrebenenschutz 36, 37, 40, 42 Datenschutzgrundrecht siehe Datenschutz Datenschutzgrundsätze – Datenqualität 118, 123, 129 Datenschutzprinzipien 45 – Datenrichtigkeit 86, 102, 106, 121, 122, 124, 130, 147–149 – Datensparsamkeit 45–46, 86, 92, 151, 165 – Datenvermeidung 45 – Spezialitätsgrundsatz 81 – Vertraulichkeit 101 – Vorrang offener Datenerhebung 46 – Vorrang unmittelbarer Datenerhebung 46 – Zweckbindungsgrundsatz siehe Zweckbindungsgrundsatz Datenschutzreformpaket 127–129 Datenschutzrichtlinie der EG 30, 38, 41, 52, 53, 63, 118–119, 168 Datenverarbeitung 30, 39–40 Diskriminierungsverbot 37, 65, 66, 80, 96 DNA-Profile 76, 85, 113–114, 131, 134, 137, 144, 148, 161, 164 Eingriff – Art. 8 GRC 43 – Art. 16 Abs. 1 AEUV 39–40 Einstimmigkeitsprinzip 141, 167 Einzelermächtigung, Prinzip der 31 ELESIS 78 Entsprechen von Rechten 48–50 Eurodac 70, 71, 108, 133 Eurojust 71, 126, 128, 143, 146 Europäische Beweisanordnung 77, 87 Europäischer Datenschutzbeauftragter 55 Europäischer Gerichtshof 23, 28, 35, 41, 56, 168 Europäischer Haftbefehl 88, 98, 100, 114, 145, 165 European Standard Set 148 Europol 67, 71, 76, 77, 89, 93, 105, 126, 128, 143, 145, 146, 153, 154 Europol-Informationssystem 62, 70, 133
Stichwortverzeichnis
Fahrzeugregisterdaten 114–116, 137–138 fishing expeditions 87, 102 Fremdrechtsanwendung 104 Frist – Aufbewahrungsfrist 165 – Beantwortungsfrist 97, 105 – Bearbeitungsfrist 95, 97, 100–101, 106, 108 – Speicherfrist 81, 139, 140 – Umsetzungsfrist 103, 126, 166 Funktion der Grundrechte – Abwehrfunktion 37, 39, 40, 42, 43 – Leistungsfunktion 43, 54–55 GASP 25, 27, 33 Gesetzgebungskompetenz – Datenerhebung, -verwertung 25–33 – Datenschutz 33 Gleichwertigkeitsprüfung 23, 78, 86, 87, 122 Grundsatz der Verfügbarkeit 63–68, 75, 85–87, 90, 92, 93, 95, 96, 108, 109, 112, 113, 117, 145, 158 Grundsatz gegenseitiger Anerkennung 64–68, 87, 90, 145 Grundsatz gleichberechtigten Informationszugangs 65 Grundsatz gleichberechtigten Zugangs 65–67, 96, 100 Grundsatz loyaler Zusammenarbeit 23, 142 Haager Programm 64, 75–77, 91, 104 hardintelligence 147 Helpdesk 153, 154 hit/no-hit-Verfahren siehe Treffer/Kein-TrefferVerfahren Implied-Powers-Doktrin 31, 32 Indexdaten 78–79, 113, 157 – indirekter Zugriff 78–79, 88–89 Information 18–20 Informationshilfe 59, 94, 95, 97, 166 – Ersuchen 95 – Hindernisse 59–63 Informationsverbund 22 Integration, differentielle 141 intergouvernementale Zusammenarbeit 26–28, 30, 32, 163, 168 Interoperabilität 70, 72–73, 86, 133, 153 ISSOL 148
183
Kollisionsregel 47, 48, 50, 53, 54 Kompetenzkatalog siehe Zuständigkeit Kompetenzteams, mobile 154 Kontaktstelle, nationale 113, 115, 139, 145– 146 Kontrollstellen 55, 63, 82, 125 Kooperation – horizontale 23 – vertikale 23, 24 Minutien, codierte 114 ne bis in idem-Grundsatz 90 Netzwerk 18, 22 NLESIS 78 opt-out-Mechanismen 34 Ordnungswidrigkeiten 115–116 ordre-public-Vorbehalt 86, 147 personenbezogene Daten 38–39 Polizeiliche und Justizielle Zusammenarbeit in Strafsachen 17, 25–31, 71, 107, 110 polizeiliche Zusammenarbeit 17–18, 29, 58 Prümer Vertrag 110 Protokollierung 81, 138–140, 143 – Doppelprotokollierung 166 Pupino-Urteil 168 Raum der Freiheit, der Sicherheit und des Rechts 16, 17, 27–29, 35, 58, 71, 116, 141 Rechtshilfe 57–59, 77, 84, 92, 95, 108, 153 – Hindernisse 59–63 – justizielle 57, 58 – polizeiliche 57, 58 Relevanzschwelle, materielle 114, 144–145, 164 Säulenmodell der EU 25, 27, 33, 63, 82, 111, 118, 167, 168 Schengener Durchführungsübereinkommen 66, 90, 91, 98, 104, 136 Schengener Informationssystem 62, 70, 71, 77, 126, 133 Schleusenmodell 74, 94–109 Schrankenregelung – Art. 8 GRC 44–54 – Art. 16 Abs. 1 AEUV 40–42 – horizontale 44, 47, 48, 54 – qualifizierte 44–46
184
Stichwortverzeichnis
Schutzbereich – Art. 8 GRC 43–44 – Art. 16 Abs. 1 AEUV 38–39 Schwedische Initiative 96 softintelligence 147 Souveränitätsprinzip 26, 29, 57, 69, 89, 94, 95, 97 Speicherfrist siehe Frist Spuren, offene 113 Staatenverbund 26 s-TESTA II-Netzwerk 132–133 Strafrechtssetzungskompetenz 31–33 Straftatenkatalog 87, 98, 114, 145, 164, 165 Subsidiaritätsprinzip 34–35, 163 Templates 114 Torwächterfunktion 95, 97 Transferregel siehe Kollisionsregel Treffer/Kein-Treffer-Verfahren 79, 85, 88, 108, 133–134, 160, 161 Treffergenauigkeit 148 Trennungsgebot 146
Verarbeitung siehe Datenverarbeitung Verhältnismäßigkeitsgrundsatz 45, 88 – Angemessenheit 45–46 – Erforderlichkeit 45 – Geeignetheit 45 Verhältnismäßigkeitsprinzip 34, 36, 87, 165 verstärkte Zusammenarbeit 141–143 Vertragsverletzungsverfahren 154 Verwaltungsverbund – europäischer 22, 94 Visa-Informationssystem 71, 133 Zollinformationssystem 70, 71 Zufallstreffer 148 Zugriff – mittelbarer siehe Schleusenmodell – Online-Zugriff 77, 78 – unmittelbarer siehe Datenpoolmodell Zuständigkeit – ausschließliche 29, 56 – ergänzende 29 – geteilte 29, 35, 163 Zweckbindungsgrundsatz 44–47, 80, 81, 107, 122, 123, 129, 137–138, 143–145, 164–165