Deutscher Bundestag – 16. Wahlperiode
– 129 –
nen könnte. Dort werden alle Aspekte der künftigen europäischen Innenpolitik abgehandelt, für die in Zukunft das
Konvergenzprinzip als Leitmaxime gelten soll; dem Datenschutz (privacy) sind allerdings nur zwei von
122 Kapiteln vorbehalten, welche zudem die datenschutzrechtlichen Anforderungen nur unzureichend beschreiben. Der Bericht soll als das sog. Stockholmer Programm
unter schwedischem Vorsitz verabschiedet werden. Es bedarf also noch datenschutzrechtlicher Überzeugungsarbeit, um einen verstärkten Schutz der Bürgerrechte
auch unter dem Nachfolgeprogramm zu gewährleisten.
13.3.1 Rahmenbeschluss über den Schutz
personenbezogener Daten im Rahmen
der polizeilichen und justiziellen
Zusammenarbeit in Strafsachen
Der nach langen Beratungen verabschiedete Rahmenbeschluss ist nur ein erster Schritt auf dem Weg zu einem
hohen Datenschutzstandard für die Verarbeitung personenbezogener Daten durch Polizei- und Strafverfolgungsbehörden der EU-Mitgliedstaaten.
Der Rat der Innen- und Justizminister der EU-Mitgliedstaaten hat am 27. November 2008 den Rahmenbeschluss
des Rates über den Schutz personenbezogener Daten, die
im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, verabschiedet.
Damit sind nach über drei Jahren Beratungen (21. TB
Nr. 3.2.1) erstmals gemeinsame Regelungen zum Datenschutz für die polizeiliche und justizielle Zusammenarbeit
in der sog. Dritten Säule der EU beschlossen worden. Das
ursprüngliche Ziel, einen hohen und gleichwertigen Datenschutzstandard bei der Verarbeitung personenbezogener Daten durch Polizei- und Strafverfolgungsbehörden
zu schaffen, wird aber nicht erreicht.
So erstreckt sich der Anwendungsbereich des Rahmenbeschlusses nur auf die Übermittlung personenbezogener
Daten zwischen den Mitgliedstaaten untereinander und
zwischen den Mitgliedstaaten und EU-Behörden bzw.
EU-Informationssystemen sowie auf die weitere Verarbeitung der erhaltenen Daten in den Mitgliedstaaten. Die
Datenverarbeitung von Polizei- und Strafverfolgungsbehörden auf nationaler Ebene bleibt jedoch unberührt, obwohl die übermittelten Daten im Empfängerland mit den
dort erhobenen Daten zusammengeführt werden. Es ist
deshalb völlig unpraktikabel, für die verschiedenen Datenarten unterschiedliche Datenschutzstandards vorzusehen.
Der Rahmenbeschluss gilt zudem nicht für die Verarbeitung von Daten in Akten, in denen jedoch weiterhin ein
großer Anteil der polizeilichen Datenverarbeitung stattfindet.
Des weiteren sieht der Rahmenbeschluss zwar vor, dass
es in den EU-Mitgliedstaaten Auskunfts-, Löschungsund Berichtigungsansprüche für die von der Datenverarbeitung Betroffenen geben muss, überlässt aber die konkrete Ausgestaltung dieser Rechte dem jeweiligen nationalen Gesetzgeber. Ein einheitlicher Datenschutzstandard
kann damit nicht erreicht werden.
Drucksache 16/12600
Ferner fehlen Regelungen für ein unabhängiges Gremium
der Datenschutzbeauftragten aus den Mitgliedstaaten, das
die Kommission, den Rat und das Europäische Parlament
in datenschutzrechtlichen Fragen berät. EU-Rechtsakte
zur polizeilichen und justiziellen Zusammenarbeit in
Strafsachen können damit auch künftig ohne Beteiligung
von Datenschutzgremien auf EU-Ebene verabschiedet
werden. Mir ist völlig unverständlich, warum ein entsprechender Vorschlag der Kommission und des Europäischen Parlaments vom Rat nicht übernommen wurde.
13.3.2 Vertrag von Prüm und dessen
Überführung in europäisches Recht
Der Vertrag von Prüm über die Vertiefung der grenzüberschreitenden Zusammenarbeit, insbesondere zur Bekämpfung des Terrorismus, der grenzüberschreitenden Kriminalität und der illegalen Migration, unterzeichnet am
27. Mai 2005 von sieben Mitgliedstaaten, wird seit
Dezember 2006 sukzessive umgesetzt (vgl. Kasten zu
Nr. 13.3.2).
Kaum war der Vertrag von Prüm durch die ersten Vertragsstaaten ratifiziert und die dazugehörige Durchführungsvereinbarung im Dezember 2006 getroffen worden
(vgl. 21. TB Nr. 3.2.2), beschlossen die Justiz- und Innenminister der EU-Mitgliedstaaten im Februar 2007 unter deutscher EU-Präsidentschaft die Regelungen des
Prümer Vertrages in das EU-Recht zu überführen. Wesentliche Teile des Prümer Vertrages sollen für alle EUMitgliedstaaten gelten. Dies betrifft insbesondere den
Austausch von DNA- und daktyloskopischen Daten, KfzDaten sowie die Übermittlung von Daten zur Verhütung
des Terrorismus. Bereits am 12. Juni 2007 folgte im Rat
eine politische Einigung über den Vorschlag für einen
entsprechenden Ratsbeschluss, der mit Beschluss des EURates vom 23. Juni 2008 rechtsverbindlich wurde.
Ich hatte Bedenken gegen die Überführung des Prümer
Vertrags in den Rechtsrahmen der EU geäußert, weil es
im Bereich der Dritten Säule der EU immer noch kein angemessenes Datenschutz-Regime gab. Aber auch der
zwischenzeitlich verabschiedete Rahmenbeschluss zum
Datenschutz in der Dritten Säule weist gravierende datenschutzrechtliche Defizite auf und gewährleistet daher keinen entsprechenden Schutz (vgl. Nr. 13.3.1). Die rasche
Umsetzung der Prüm-Initiative halte ich auch für problematisch, weil in mehreren EU-Mitgliedstaaten überhaupt
erst die rechtlichen und technischen Voraussetzungen,
z. B. für den Aufbau einer DNA-Datenbank, geschaffen
werden müssen. Es macht einen Unterschied, ob der Austausch von DNA- und daktyloskopischen Daten zwischen
den sieben ursprünglichen Vertragsparteien mit ähnlicher
Rechtstradition und vergleichbarer Praxis oder aber zwischen 27 Mitgliedstaaten abläuft, von denen viele nur
über rudimentäre Vorkehrungen sowohl rechtlicher wie
auch datenverarbeitungstechnischer Art verfügen. Dies
gilt im Grunde auch für die erforderliche Datenschutzinfrastruktur auf Grund des Ratsbeschlusses. Ich habe
deshalb vor einer überstürzten Umsetzung des Ratsbeschlusses gewarnt.
BfDI 22. Tätigkeitsbericht 2007-2008