– 194 –
Anlage 20 (zu Nr. 8.9)
Entschließung der 62. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 24. bis
26. Oktober 2001:
EUROJUST – Vorläufer einer künftigen europäischen Staatsanwaltschaft?
Der Europäische Rat hat im Herbst 1999 in Tampere die Einrichtung einer gemeinsamen Stelle EUROJUST zur justiziellen Zusammenarbeit beschlossen. EUROJUST soll zur Bekämpfung der schweren organisierten Kriminalität eine
sachgerechte Koordinierung der nationalen Staatsanwaltschaften erleichtern und die strafrechtlichen Ermittlungen
unterstützen sowie die Erledigung von Rechtshilfeersuchen
vereinfachen. Zusätzlich beschloss der Rat im Dezember
2000 die Einrichtung einer vorläufigen Stelle zur justiziellen
Zusammenarbeit, PRO-EUROJUST genannt, die am 1. März
2001 ihre Arbeit aufgenommen hat. Diese Stelle soll bis zur
Einrichtung von EUROJUST die Zusammenarbeit der Ermittlungsbehörden auf dem Gebiet der Bekämpfung der
schweren grenzüberschreitenden Kriminalität verbessern
und die Koordinierung von Ermittlungen anregen und verstärken. Ein Beschluss des Rates über die Einrichtung von
EUROJUST soll bis Ende des Jahres 2001 verabschiedet werden.
Verarbeitung personenbezogener Daten
Die Aufgabenstellung von EUROJUST führt möglicherweise dazu, dass eine europäische Großbehörde heranwächst, die Daten nicht nur über verdächtige Personen, sondern auch über Opfer und Zeugen sammeln soll, und damit
zwangsläufig tief greifende Eingriffe in Bürgerrechte vornehmen würde. In diesem Falle käme als Grundlage für
EUROJUST nur eine Konvention in Betracht, da für künftige Grundrechtseingriffe durch EUROJUST eine demokratische Legitimation notwendig wäre.
Auskunftsrecht
Mit Blick auf die sensiblen personenbezogenen Daten, die
von EUROJUST erhoben, verarbeitet und genutzt werden
sollen, und unter Berücksichtigung der eigenen Rechtspersönlichkeit von EUROJUST sind umfassende Datenschutzvorschriften erforderlich. Diese müssen sowohl Regelungen
zur Verarbeitung, Speicherung, Nutzung, Berichtigung, Löschung als auch zum Auskunftsanspruch des Betroffenen
sowie zu einer Kontrollinstanz von EUROJUST enthalten.
Nach Auffassung der Datenschutzbeauftragten des Bundes
und der Länder sind folgende datenschutzrechtliche Anforderungen an EUROJUST zu stellen:
Informationsaustausch mit Partnern
Der Informationsaustausch mit Partnern sollte EUROJUST
dann erlaubt sein, wenn er zur Erfüllung seiner Aufgaben
erforderlich ist. Bei Weiterleitung dieser Daten an Drittstaaten und -stellen ist die Zustimmung des Mitgliedstaates einzuholen, von dem diese Daten geliefert wurden. Sind personenbezogene Daten betroffen, so muss grundsätzlich eine
Übereinkunft zwischen EUROJUST und der Partnerstelle
über den Datenschutzstandard getroffen werden. Nur in absoluten Ausnahmefällen, die einer restriktiven Regelung bedürfen, sollte eine Datenübermittlung auch bei Fehlen einer
solchen Vereinbarung zulässig sein.
BfD 19. Tätigkeitsbericht 2001–2002
Der Katalog der personenbezogenen Daten, die automatisiert verarbeitet werden dürfen, ist streng am Maßstab der
Erforderlichkeit und an den Aufgaben von EUROJUST zu
orientieren. Eine zusätzliche Öffnungsklausel, die letztlich
die Speicherung aller Daten zulassen würde, ist abzulehnen.
Eine Verarbeitung der Daten von Opfern und Zeugen darf,
wenn überhaupt erforderlich, nur unter einschränkenden Bedingungen vorgenommen werden.
Ermittlungsindex und Dateien
Der Ermittlungsindex sollte so ausgestaltet sein, dass es sich
um eine reine Vorgangsverwaltung handelt. Sofern zusätzlich Arbeitsdateien geführt werden, sind sie genau zu bezeichnen.
Wenn EUROJUST Daten verarbeitet, die ursprünglich von
einem Mitgliedstaat geliefert wurden, handelt es sich im Ergebnis um Daten von EUROJUST. Insofern ist ein eigener
Auskunftsanspruch von Betroffenen gegenüber EUROJUST
unverzichtbar. Für den Fall, dass im Strafverfolgungsinteresse oder aus sonstigen Gründen des Gemeinwohls von einer Auskunft an den Betroffenen abgesehen werden soll,
muss eine Abwägung mit den Interessen des Betroffenen an
einer Auskunftserteilung vorangegangen sein.
Änderung, Berichtigung und Löschung
Es sollte auch eine Regelung zur Sperrung von Daten aufgenommen werden, die dazu führt, dass Daten unter bestimmten Voraussetzungen nicht gelöscht, sondern lediglich gesperrt werden.
Speicherungsfristen
Sofern Daten nach Ablauf bestimmter sonstiger Fristen zu
löschen sind, z. B. nach Ablauf der Verjährungsfrist einzelner Mitgliedstaaten, sollte sich die Speicherungsfrist bei
EUROJUST nach der Frist des Mitgliedstaates richten, in
dem sie am kürzesten ist, um eine mögliche Umgehung nationaler Löschungsfristen zu vermeiden. Die Prüffristen
sollten zwei Jahre betragen und auch für Folgeprüfungen
nicht länger sein.
Datensicherheit
Erforderlich sind konkrete Vorschriften zur Datensicherheit.
Um den Text des Beschlusses nicht zu überfrachten, könnte
eine Regelung entsprechend Artikel 22 der Verordnung EG
45/2001 oder § 9 BDSG vorgesehen werden.