Drucksache 17/5200
– 148 –
Vor dem Hintergrund des Bedeutungszuwachses von Europol stellt sich auch die Frage, ob die derzeitige Struktur
der Datenschutzkontrolle, die durch eine Gemeinsame
Kontrollinstanz aller 27 EU-Mitgliedstaaten wahrgenommen wird, noch zeitgemäß ist und den Anforderungen an
eine effektive, effiziente und flexible Datenschutzaufsicht
genügt.
13.11.2 Beschwerden aus Deutschland im
Europol-Beschwerdeausschuss
Erstmals seit Bestehen des Europol-Beschwerdeausschusses war über zwei Beschwerden aus Deutschland zu
entscheiden. Dabei ging es um den Umfang des Auskunftsanspruchs.
Der Gemeinsamen Kontrollinstanz von Europol (GKI)
wurde durch das Europol-Übereinkommen bzw. den Europol-Beschluss u. a. die Aufgabe übertragen, über Beschwerden von Einzelpersonen zu entscheiden, bei denen
es um den von Europol erhaltenen Bescheid auf einen
Antrag auf Auskunft, Berichtigung oder Löschung geht.
Zu diesem Zweck hat die GKI einen Beschwerdeausschuss eingerichtet, der als gerichtsähnliches Gremium
ein Rechtsbehelfsverfahren für Einzelpersonen durchführt, die im Zusammenhang mit der Verarbeitung und
Nutzung ihrer personenbezogenen Daten durch Europol
ihre o. g. Datenschutzrechte einfordern.
Erstmals wurden im Beschwerdeausschuss jetzt auch zwei
Beschwerden aus Deutschland verhandelt. Die Beschwerdeführer wandten sich jeweils dagegen, dass Europol es in
einer Auskunft ihnen gegenüber offen gelassen habe, ob zu
ihnen Daten in den dort geführten Dateien gespeichert
seien. Da die Beschwerden noch im Jahr 2009 eingelegt
wurden, sind der Entscheidung des Beschwerdeausschusses die insofern einschlägigen Regelungen des Europol-Übereinkommens zugrunde zu legen. Gem. Artikel 19
dieses Übereinkommens muss die Geltendmachung des
Auskunftsanspruches sowie die Entscheidung hierüber im
Einklang mit den Rechtsvorschriften des Mitgliedsstaates
stehen, in dem der Auskunftsanspruch erhoben wurde. Zudem sind die in diesem Artikel bezeichneten Auskunftsverweigerungsgründe zu berücksichtigen. Da in den genannten Fällen die Beschwerdeführer ihr Recht auf
Auskunft in Deutschland ausgeübt hatten, gelangte insoweit deutsches Recht zur Anwendung. Danach ergibt sich
der Umfang der Auskunftsverpflichtung der verantwortlichen Stelle aus § 19 BDSG. Zur umfassenden Auskunftserteilung gehört es auch, dem Antragsteller mitzuteilen,
wenn zu seiner Person keine Daten bei der verantwortlichen Stelle gespeichert sind. Dies folgt unmittelbar aus
dem Grundrecht auf informationelle Selbstbestimmung.
Informationelle Selbstbestimmung setzt Entscheidungsfreiheit voraus, das Recht auf Löschung oder Berichtigung
sowie effektiven Rechtsschutz geltend zu machen. Dies
bedingt nicht nur das Wissen darüber, wer welche Daten
für welche Zwecke verarbeitet hat, sondern auch ob überhaupt Daten gespeichert sind. Eine Auskunft, die dies offen lässt, trägt der verfassungsrechtlich verankerten
Schutzfunktion des nationalen Auskunftsrechts nicht
Rechnung. Eine Auskunft und damit auch eine Negativ-
BfDI 23. Tätigkeitsbericht 2009-2010
Deutscher Bundestag – 17. Wahlperiode
auskunft kann dem Antragsteller nur bei Vorliegen der gesetzlich normierten Auskunftsverweigerungsgründe vorenthalten werden (§ 19 Absatz 4 BDSG). Eine ähnliche
Regelung zur Auskunftsverweigerung enthält auch Artikel
19 des Europol-Übereinkommen. Der Beschwerdeausschuss hat demnach zu entscheiden, ob die Auskunftserteilung seitens Europol in den genannten Fällen im Einklang
mit den Regelungen des Europol-Übereinkommens und
denen des Bundesdatenschutzgesetzes stand. Die Verfahren sind noch nicht abgeschlossen.
13.12
Internationale Organisationen
Sowohl Europarat als auch OECD waren im Berichtszeitraum mit wichtigen Einzelthemen sowie der Vorbereitung
einer umfassenden Novellierung ihrer jeweiligen Datenschutzinstrumente befasst.
Der Europarat nahm im November 2010 eine wichtige
Empfehlung zum Thema Profilbildung an, die von den
Mitgliedstaaten auf nationaler Ebene umgesetzt werden
soll. Die Zusammenführung und Verknüpfung personenbezogener Daten zu Profilen stellt eine besondere Gefährdung der informationellen Selbstbestimmung dar, die zur
Wahrung des Persönlichkeitsrechts einer strikten Reglementierung bedarf. Ziel der Empfehlung ist es, einen angemessenen Ausgleich zwischen dem Datenschutz und
den legitimen Interessen, die die Erstellung von Profilen
rechtfertigen können, zu gewährleisten. Künftiger Arbeitsschwerpunkt des Europarats im Bereich Datenschutz wird
die Modernisierung des Übereinkommens zum Schutz des
Menschen bei der automatischen Verarbeitung personenbezogener Daten („Übereinkommen 108“) von 1981 sein.
Mit der geplanten Novellierung des Übereinkommens, die
im Frühjahr 2011 mit der Durchführung eines Konsultationsverfahrens beginnen wird, soll insbesondere den aufgrund der technologischen Entwicklungen in Verbindung
mit dem Internet hervorgerufenen Herausforderungen, wie
etwa Cloud Computing oder sozialen Netzwerken, begegnet werden. Die Modernisierungsbestrebungen stehen insofern in engem inhaltlichen Zusammenhang mit entsprechenden Überlegungen auf Ebene der EU (vgl. Nr. 13.2)
und in Deutschland (vgl. Nr. 1.2).
Die OECD feierte bereits 2010 den 30. Jahrestag der Annahme der OECD Privacy Guidelines und richtete aus
diesem Anlass drei Jubiläumsveranstaltungen zu den
Themen Bedeutung der Guidelines, Rolle des Einzelnen
sowie wirtschaftliche Dimension des Datenschutzes aus.
Auf der Grundlage des Ergebnisses einer Befragung der
Mitgliedstaaten, die für Anfang 2011 geplant ist, soll über
eine mögliche Revision der Guidelines entschieden werden. Die OECD hat darüber hinaus auch ihre Bemühungen um eine verbesserte Zusammenarbeit der nationalen
Datenschutzbehörden fortgesetzt. Neben der Erarbeitung
einer Übersicht nationaler Ansprechpartner und der Erarbeitung eines Standardformulars zur Erleichterung der
Kontaktaufnahme zwischen den Datenschutzbehörden
unterstützt die OECD die Tätigkeit des „Global Privacy
Enforcement Network“ (vgl. o. Nr. 4.11) durch die Entwicklung und Einrichtung der Website des Netzwerks.