Drucksache 16/12600
– 130 –
K a s t e n zu Nr. 13.3.2
Der Vertrag von Prüm
Am 27. Mai 2005 haben sieben EU-Mitgliedstaaten
(Belgien, Deutschland, Frankreich, Luxemburg, Niederlande, Österreich und Spanien) im rheinland-pfälzischen Prüm einen völkerrechtlicher Vertrag über die
Vertiefung der grenzüberschreitenden Zusammenarbeit,
insbesondere zur Bekämpfung des Terrorismus, der
grenzüberschreitenden Kriminalität und der illegalen
Migration, geschlossen. Nach dem Ort der Unterzeichnung wird dieser Vertrag als „Prümer Vertrag“ bezeichnet.
Kernelement des Vertrages ist die gegenseitige Vernetzung nationaler Datenbanken. So gewähren sich die
Polizei- und Strafverfolgungsbehörden dieser Staaten
wechselseitig Zugriff auf bestimmte nationale polizeiliche Dateien. Hierzu zählen DNA-Analyse-Dateien,
Datenbanken mit elektronisch gespeicherten Fingerabdrücken sowie elektronische Register mit Kraftfahrzeug- und Kraftfahrzeughalterdaten. Die abfragende
Stelle erhält innerhalb weniger Minuten unmittelbar und
automatisch Kenntnis, ob zu den von ihr abgefragten
Daten Informationen in den Dateien der anderen Vertragsstaaten enthalten sind. Insoweit wird jedoch nur angezeigt, dass dort Informationen gespeichert sind
(„Treffer/Hit“) oder nicht („kein Treffer/no hit“). Es besteht kein unmittelbarer Zugriff auf diese Informationen.
Der Vertrag von Prüm ist kein EU-Abkommen, d. h.
keine gemäß den EU-Verträgen (sog. Gemeinschaftsrecht) geschlossene Vereinbarung, die alle EU-Mitgliedstaaten bindet. Da dieser Vertrag aber Bestimmungen
enthält, die das Gemeinschaftsrecht inhaltlich betreffen
(die sog. Erste und Dritte Säule der EU) war er von Beginn an darauf ausgerichtet, in den Rechtsrahmen der
EU überführt, d. h. Bestandteil des Gemeinschaftsrechts
zu werden. Unter der deutschen EU-Ratspräsidentschaft
ist diese Überführung im Februar 2007 erfolgt.
Die Prüm-Vertragsparteien haben nach Inkraftsetzung des
Vertrages im Dezember 2006 sukzessive mit der Aufnahme des Echtbetriebs begonnen, zunächst zwischen
Deutschland und Österreich hinsichtlich des Austauschs
von DNA- und in 2007 auch von daktyloskopischen Daten. Bis Juli 2007 fand die Umsetzung im DNA-Bereich
bereits mit fünf weiteren Staaten statt, während im daktyloskopischen Bereich, bis auf Österreich, ein Austausch
nur im Testbetrieb realisiert wurde.
Im September 2008 habe ich mich im BKA über die Umsetzung des Prümer Vertrages informiert. Themen waren
der Austausch von DNA- und von daktyloskopischen Daten sowie die Praxis der Protokollierung gemäß
Artikel 39 des Vertrages. Dabei habe ich festgestellt, dass
Deutschland den DNA-Datenaustausch mit jedem neu
hinzukommenden Vertragsstaat zunächst mit einem Initialmassenabgleich der DNA-Profile beginnt, d. h. der in-
BfDI 22. Tätigkeitsbericht 2007-2008
Deutscher Bundestag – 16. Wahlperiode
ländische Datenbestand mit DNA-Indexdaten wird den
anderen Vertragsparteien zum Zwecke des Abgleichs mit
dem dortigen Datenbestand zur Verfügung gestellt und
umgekehrt. Ich halte diese Praxis mit den Vorgaben des
Vertrages für nicht vereinbar, denn ein solcher Massenabgleich ist nur mit DNA-Spurenmaterial vorgesehen
(Artikel 4), nicht jedoch mit individuell zurechenbaren
Identifizierungsmerkmalen. Im Übrigen halte ich einen
solchen Massenabgleich auch für unverhältnismäßig,
denn er widerspricht der vertraglich vereinbarten hit/
no hit Abfrage im Einzelfall.
Problematisch ist auch das Verfahren zur Feststellung eines Treffers im Falle der Abfrage mit einem DNA-Fundstellendatensatz. Aus datenschutzrechtlicher Sicht muss
es sich dabei immer um einen Exakttreffer handeln, der
vorliegt, wenn auf beiden Seiten mindestens sechs
Genoide (sog. loci) mit den zugrunde liegenden AllelWerten des DNA-Satzes übereinstimmen. Auch wenn einige Werte durch sog. „Joker“ ersetzt werden, darf dies
nicht zu einer Verminderung der Genauigkeit von Treffern führen, denn ansonsten besteht die Gefahr, dass der
abgefragte Datensatz einer anderen Person zugeordnet
wird. Dies hat auch die Working Party Police and Justice
(vgl. Nr. 13.3.8) in ihrer Stellungnahme zu dem Durchführungsbeschluss auf Ratsebene betont und gefordert,
im technischen Anhang zu diesem Beschluss ausdrücklich zu regeln, dass jegliche Übereinstimmung eines bestimmten Merkmals, die durch die Verwendung einer
„wildcard“ ausgelöst wird, bei der Bestimmung der zumindest sechs loci nicht berücksichtigt werden darf.
Auch beim Abgleich von daktyloskopischen Daten, bei
dem allerdings ein endgültiger Treffer durch einen Daktyloskopen bestätigt wird, ist größte Sorgfalt angebracht.
Deshalb habe ich aus datenschutzrechtlicher Sicht vorgeschlagen, dass im Annex zu dem Durchführungsbeschluss ein gemeinsamer daktyloskopischer Datentrefferalgorithmus für alle Mitgliedsstaaten, zumindest aber
ein Mindestmaß an technischen Trefferregeln festgelegt
werden sollte.
Die Gesichtspunkte, die aus datenschutzrechtlicher Sicht
beim ursprünglichen Vertrag von Prüm vorgebracht wurden, müssen erst recht bei der Überführung des Vertrages
in europäisches Recht berücksichtigt werden, denn hier
wird langfristig die DNA- und daktyloskopische Praxis
aus 27 EU-Mitgliedstaaten zusammengeführt.
Wegen der dargestellten Probleme ist eine intensive
grenzüberschreitende Kooperation der in den Vertragstexten ausdrücklich erwähnten nationalen Datenschutzkontrollinstanzen unerlässlich.
13.3.3 EUROPOL
EUROPOL erhält eine neue Rechtsgrundlage in Form eines Ratsbeschlusses. Darüber hinaus werden seine Aufgaben und Befugnisse erweitert. Diese Gelegenheit wurde
nicht genutzt, um die bestehenden datenschutzrechtlichen
Defizite zu beheben.
Die EU-Kommission hat am 20. Dezember 2006 den
Vorschlag für einen Beschluss des Rates zur Errichtung